PKCE con OAuth 2.0 en la API de Twitter

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Introducción a OAuth 2.0 y OIDC

JSON Web Tokens

Open Authorization 2.0

Open ID Connect

OAuth y OIDC en producción

Tomar examen

PKCE con OAuth 2.0 en la API de Twitter

Resumen

Si estás construyendo una aplicación que no puede guardar secrets de forma segura, necesitas Authorization Code Flow con Proof Key for Code Exchange (PKCE) en la API de Twitter. Esta variante del flujo OAuth 2.0 protege a single page apps, apps nativas y mobile frente a la intercepción de códigos de autorización.

La idea central es simple: añades dos piezas criptográficas (un code verifier y un code challenge) que prueban que quien intercambia el código es el mismo cliente que inició la solicitud.

¿Qué configuración necesitas en el portal de Twitter Developer?

Antes de tocar código, debes registrar tu aplicación en developer.twitter.com y obtener las credenciales correctas.

Dentro del portal puedes crear un proyecto y hasta tres aplicaciones por proyecto. En overview, agregas una nueva app, eliges el ambiente (por ejemplo staging) y le das un nombre descriptivo como auth code flow with PKCE Twitter [01:05].

Al crear la app no verás de inmediato el client ID ni el client secret. Para que aparezcan, debes entrar a user authentication settings y configurar:

Permisos de la app: en este caso solo lectura, sin acceso al email del usuario.
Tipo de aplicación: native app, es decir, un cliente público.
URL de callback: en desarrollo usamos http://localhost:3003/api/callback.

¿Qué es un cliente público en OAuth? Es una aplicación que no puede guardar credenciales de forma segura, como una single page app o una app móvil. Por eso necesita PKCE en lugar de un client secret tradicional.

Una vez guardas la configuración, copias el client ID y el client secret. Guarda el secret en un lugar seguro porque Twitter no te lo mostrará de nuevo y tendrás que regenerarlo [02:30].

¿Cómo se diferencia PKCE del Authorization Code Flow tradicional?

El flujo es casi idéntico al authorization code flow clásico, pero con un detalle clave que blinda la seguridad.

Antes de redirigir al usuario al authorization server, tu cliente genera dos valores:

Code verifier: un string aleatorio de 128 bits.
Code challenge: el resultado de aplicar un hash SHA-256 al code verifier.
Code challenge method: el algoritmo usado, en este caso S256.

En la solicitud inicial a /authorize envías el code_challenge y el code_challenge_method. Más adelante, al canjear el código por el token en /token, envías el code_verifier original.

¿Por qué PKCE necesita un hash irreversible? Porque el code challenge viaja por la red en la primera petición. Si un atacante lo intercepta, no puede deducir el code verifier original, así que no puede completar el intercambio.

Esta validación cruzada garantiza que el cliente que recibe el token es el mismo que inició el flujo [04:10].

¿Cómo se construye el authorization request en el código?

El punto de partida es el endpoint https://twitter.com/i/oauth2/authorize. Cada API tiene su propia URL, pero todas siguen el mismo estándar OAuth 2.0.

Los parámetros que envías son:

response_type=code.
client_id desde las variables de entorno.
scope con los permisos necesarios (leer datos del usuario y sus tuits).
redirect_uri igual al registrado en el portal.
state: un string aleatorio de 16 bits para prevenir ataques de cross-site request forgery.
code_challenge y code_challenge_method=S256.

Para generar valores aleatorios se usa la utilidad randomstring, y para el hash una función propia llamada generateCodeChallenge que recibe el code verifier.

Un detalle frecuente de error: las APIs piden los parámetros en snake_case (code_challenge, no codeChallenge). Si los escribes en camelCase, recibirás un error tipo code_challenge is not defined [06:45].

¿Dónde se almacenan el state y el code verifier?

Como ambos valores deben compararse después en el callback, se guardan en cookies del navegador. Puedes escribirlas como un array para incluir varias cookies en una sola respuesta: una para el state y otra para el code_verifier.

¿Cómo se implementa el callback que intercambia el código por un token?

Cuando el usuario autoriza la app, Twitter redirige a tu redirect_uri con un code y el state original en el query string.

El callback debe ejecutar dos validaciones y un intercambio:

Verificar que request.query.state sea igual a cookies.state. Si no coinciden, muestras un error y detienes el flujo.
Construir la petición POST al endpoint /token con grant_type=authorization_code, client_id, el code recibido y el code_verifier recuperado de la cookie.
Recibir el access_token y guardarlo en una cookie segura para usarlo en futuras peticiones.

A partir de ese momento puedes llamar a la API de Twitter incluyendo el header Authorization: Bearer <access_token> para obtener información del usuario o sus últimos tuits [09:20].

¿Cómo se evita el bloqueo CORS al llamar a la API de Twitter?

Twitter aplica políticas de CORS que impiden hacer requests directos desde el cliente. La solución es crear un endpoint intermedio en el backend.

Usando las Route APIs de Next.js puedes crear un endpoint llamado /api/cors que actúa como middleware: recibe la URL objetivo, hace la llamada con el access token y devuelve la respuesta al cliente, que la renderiza con componentes de React.

Reto práctico para fijar el flujo

Implementa Authorization Code Flow con PKCE en un servicio distinto a Twitter. Algunas opciones interesantes son Spotify, GitHub o Google. Compara cómo cada API nombra sus scopes, qué endpoints expone y cómo manejan el redirect uri.

¿Qué servicio elegiste y qué diferencias encontraste frente al flujo de Twitter? Cuéntalo en los comentarios.

Comentarios

Alfredo David Sumosa

Estudiante

Curso de Criptografía, please! 🙏🏻

David Corral Fiestas

Estudiante

Me agrego a la propuesta jeje !! curso de criptografia por favor !

Enrique Ortuno

Estudiante

Porque no habra mostrado la implementación de este flujo usando una SPA

Luis Márquez

Estudiante

Por qué enviamos el client id y secret si el flujo en teoría solo acepta el code verifier y el authorization code a la hora de solicitar el access token al endpoint /token?

Guillermo Rodas

Profesor

¡Muy buena pregunta! la nueva versión de la API de Twitter tiene un bug con las apps "no seguras" (a la hora de grabar el curso) que corren del lado del cliente.

Por eso usamos la versión de app segura que pide además del client secret.

Sí bien OAuth es un estándar, no siempre las compañías lo implementan rigurosamente o pueden haber leves variaciones que no necesariamente contradicen la especificación.

Alfredo David Sumosa

Estudiante

Estoy algo confundido con la diferencia entre Auth Code Flow y Auth Code Flow w/ PKCE, comparando este ejemplo con el anterior.

Pensé que un cliente no seguro era una SPA o similar sin un servidor/backend y es allí donde es necesario usar PKCE, pero aquí estamos usando el "backend" de la aplicación de next.js al igual que en el ejemplo anterior, y parecen el mismo escenario desde mi perspectiva.

Alguien me podría aclarar mas porque usamos un servidor para obtener el token de autorización en vez del frontend para este flujo? es necesario? @glrodasz

Guillermo Rodas

Profesor

PKCE no tiene restricción a un cliente seguro o inseguro.

En Twitter de hecho se puede configurar cualquiera de los dos canales, uno sería enviando el Client Secret y el otro no.

¿Que seria redundante? Sí, pero si se puede usar PKCE siempre mejor.

Alfredo David Sumosa

Estudiante

tiene sentido, gracias por aclarar, profe!

Antonio Obregón

Estudiante

Es posible usar una callback URI como localhost durante el desarrollo de aplicaciones porque permite a los desarrolladores probar flujos de autenticación sin necesidad de un servidor en producción. Cuando se establece la callback URI en localhost, el servidor de autorización puede redirigir a la aplicación en la máquina local del desarrollador después de que el usuario otorgue acceso. Esto es útil para pruebas y desarrollo, ya que evita la complejidad de manejar URLs en un entorno de producción. En un entorno de producción, se deben usar URLs válidas y accesibles públicamente.

David Corral Fiestas

Estudiante

Hola, tengo una duda. Si usamos cookies para guardar el token (una cookie segura), es necesario implementar el método del "state" para evitar ataques CSRF ?

Guillermo Rodas

Profesor

Los ataques a un almacenamiento no seguro como el local o session storage son diferentes al CSRF, por ende es recomendado usar el state de todas formas.

Mateo Loaiza Rios

Estudiante

Es mejor guardar el token y el code_verifier en una cookie que en local storage?

Guillermo Rodas

Profesor

Sí, el problema es que el local storage no es seguro, siempre una cookie segura del lado del servidor va a ser mejor opción.

Un caso es el vector de ataque de las dependencias, si instalas, supongamos "una versión corrupta de lodash" este código de tercero puede acceder a tu local storage sin problema, por ende al tus tokens.

Entonces cualquier inyección de JavaScript puede terminar en un acceso a nuestros tokens.

Eduardo Abraham Vázquez Rosado

Estudiante

Me sale este error al hacer el request a https://api.twitter.com/2/users/me?user.fields=profile_image_url

{
  "title": "Unsupported Authentication",
  "detail": "Authenticating with OAuth 2.0 Application-Only is forbidden for this endpoint.  Supported authentication types are [OAuth 1.0a User Context, OAuth 2.0 User Context].",
  "type": "https://api.twitter.com/2/problems/unsupported-authentication",
  "status": 403
}

Eduardo Abraham Vázquez Rosado

Estudiante

Por si a alguien le llega a pasar lo mismo, borré las cookies y volví a probar, ya todo funciona. Al parecer cometí un error al inicio de la prueba al momento de guardar el access_token en una cookie, y al final se estaba pegando Path=/.

A pesar de haber corregido el error, se quedó la cookie mala.

Niller David Yanes Diaz

Estudiante

Puedo estar equivocado, pero creo que es necesario agregar un return en el if que valida que el state sea el mismo que fue enviado, ya que res.end() responde al cliente, pero es posible que no termine el flujo de la función.

export default async function handler(req, res) {
  const cookies = cookie.parse(req.headers.cookie);

  if (req.query.state !== cookies.state) {
    res.writeHead(302, { Location: "/#?error=ERROR_STATE_MISMATCH" });
    res.end();
    return; // Detener la ejecución aquí
  }

  const options = {
    method: "POST",
    headers: {
      "Content-Type": "application/x-www-form-urlencoded",
    },
    body: querystring.stringify({
      code: req.query.code,
      redirect_uri: REDIRECT_URI,
      grant_type: "authorization_code",
      client_id: CLIENT_ID,
      code_verifier: cookies.verifier,
    }),
  };

  try {
    const response = await fetch(TWITTER_TOKEN_URL, options);
    const data = await response.json();

    res.setHeader(
      "Set-Cookie",
      `access_token=${data.access_token}; Path=/; HttpOnly`
    );

    res.writeHead(302, { Location: "/home" });
    res.end();
  } catch (error) {
    console.error(error);
    res.status(500).send("Internal Server Error"); // Agregar manejo de errores adecuado
  }
}

Irving Juárez

Estudiante

Incluso aunque este método sea recomendado para SPAs, se necesitara usar un canal seguro como el backend para pedir el token. Entonces... sería mejor usar el Auth Code Flow normal, no? Ya que de cualquier manera, para utilizar este flujo, vamos a necesitar un backend

Francisco Martin Nacimiento

Estudiante

¡Hola Irving! Estoy aprendiendo también, pero lo que entiendo acá es que no es necesario un canal seguro como el back-end.

¿Por qué? Porque no es necesario para este flujo almacenar y utilizar el CLIENT_SECRET, en la clase Guille usa Next con API Routes que permite usar un back-end, pero ya viene usándolo de la clase anterior para el flujo Auth Code Flow que sí requiere un back-end.

Creo que por practicidad y que veamos la misma base de código de ejemplo para cada flujo y no confundirnos.

En este flujo en lugar de enviar el CLIENTE_SECRET, que no lo tenemos, ya que "no estamos en un canal seguro" (imaginemos que no, ya que el flujo es para esos casos), entonces enviamos el code_verifier para pedir el access_token.

Y el Authorization Server valida este code_verifier con el code_challenge y code_challenge_method enviados previamente en el authorization request.

Francisco Martin Nacimiento

Estudiante

Si bien Guille copia el CLIENT_SECRET a principio y lo coloca en el archivo de variables de entorno, realmente lo único necesario fue el CLIENT_ID en ese proceso. Es lo que entendí.

Zaidibeth Ramos

Estudiante

Soy fan de ese archivo cors, me encanta!

Introducción a OAuth 2.0 y OIDC

Qué aprenderás en OAuth y OpenID Connect

¿Qué es la autenticación?

Autorización y Control de Acceso Basado en Roles

OAuth y OpenID Connect para qué sirve cada uno

Cómo proteger endpoints con tokens en Express

Flujo de Open Authorization y Open ID con Discord

JSON Web Tokens

Estructura y firma de un JSON Web Token

Sesiones vs JWT: qué cambia y cuándo usarlos

Firmado de JSON Web Tokens con Librería JWT en Node.js

Verificar JWT con HS256 y RS256 en Node.js

Open Authorization 2.0

Implementación de flujos OAuth 2.0 con APIs populares

Flujos de autorización en OAuth 2.0

Cómo elegir el flujo correcto en OAuth 2.0

Authorization Code Flow con Spotify paso a paso