Autorización y Control de Acceso Basado en Roles

Clase 3 de 25 • Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Resumen

El concepto de autorización es clave en distintos ámbitos de nuestra vida y su importancia se extiende al mundo digital, sobre todo cuando hablamos de seguridad y privacidad en aplicaciones web. Al comprender qué es la autorización y cómo se aplica tanto en situaciones cotidianas como en sistemas informáticos, podemos asegurar el acceso adecuado a la información y los recursos.

¿Qué es la autorización y cómo funciona en la vida cotidiana?

La autorización es el proceso mediante el cual una entidad obtiene el permiso para acceder a ciertos recursos con limitaciones específicas. Es un escalón más allá de la autenticación; una vez que la identidad del usuario ha sido comprobada, la autorización define qué puede y qué no puede hacer.

Ejemplos de autorización en contextos no digitales

Reservas en restaurantes: Solo puedes ocupar una mesa si tienes una reserva previa.
Acceso a edificios: Aunque estés identificado, pueden existir restricciones de acceso a ciertas áreas.
Invitados en hostels: Pueden tener acceso pero con limitaciones en cuanto a la utilización de servicios y áreas.

¿Cómo se aplica la autorización en el mundo digital?

En el ámbito digital, la autorización se manifiesta a través de diferentes mecánicas que permiten gestionar el acceso y las acciones que los usuarios pueden realizar dentro de un sistema.

Grupos, roles y permisos

En un sistema de administración de contenidos o un e-commerce, la autorización se define a través de un conjunto de reglas conocidas como "Role-Based Access Control" (RBAC):

Los Usuarios pueden tener permisos para realizar acciones como editar productos o leer facturas.
Se definen Roles con un conjunto específico de permisos asignados a un usuario o a un grupo de usuarios.
Los Permisos son los derechos para realizar o no ciertas acciones dentro del sistema.

¿Qué es el Role-Based Access Control?

El Role-Based Access Control es un marco de trabajo para definir la autorización en sistemas informáticos:

Roles: Conjuntos de permisos agrupados para facilitar la asignación a los usuarios.
Permisos: Acciones específicas que un usuario puede realizar en el sistema.
Grupos: Colecciones de usuarios que comparten el mismo conjunto de roles y permisos.

¿Qué nos enseña el Valet Parking sobre la autorización?

El servicio de Valet Parking es un ejemplo tangible de autorización con permisos limitados:

Llaves de Valet Parking: Permiten el arranque del vehículo pero impiden excesos como velocidad excesiva o movimiento fuera de un área determinada.
Tickets de reclamo: Funcionan como evidencia de la autorización temporal para que el valet maneje y estacione el coche.

Desafío: Analogías de autorización en el mundo real

Te reto a pensar y compartir en los comentarios analogías de situaciones de autorización en la vida cotidiana. Vamos más allá de los ejemplos aquí mencionados y pongamos en práctica nuestra comprensión del concepto.

En la próxima lección, ahora que tenemos una base clara sobre la autorización, exploraremos los conceptos de Open Authorization y Open ID Connect, esenciales para la autenticación y autorización en la web moderna. ¡Te espero con entusiasmo para seguir aprendiendo!

Juan Cruz Romero

student•

Un ejemplo es cuando vas a un boliche, entras, pero no tenes acceso a entrar al sector "VIP".

Guillermo Rodas

teacher•

La historia de mi vida 🫠

Christian Valenzuela

student•

Cuando en una garita de seguridad de algun residencial, nos piden identificacion y segun el listado de personas para acceder al residencial, podemos tener el permiso de acceder o nos lo niegan

Guillermo Rodas

teacher•

👮‍♂️

Jose Ever Muñoz Muñoz

student•

Cuando quieres ir a un concierto y hay dos tipos de boleto:

Boleto normal
Boleto VIP

Si compras el boleto VIP estaras autorizado a un balcon mas cerca de los cantantes y el escenario. Pero si compras el boleto normal, solo estas aurizado a un lugar lejos del escenario con el resto del publico

Nahuel Seoane

student•

Un ejemplo puede ser en la entrada a un recital, le muestras tu código QR de la compra y tu documento para comprobar que es tuya. Pero esa entrada te deja acceder a un sector nomás del estadio, pudiendo ser campo, platea baja, alta, etc. Si tienen más permisos podrías acceder al vip, o siendo familiar al backstage o más.

Matías Daniel Aybar

student•

No funciona correctamente. No se ve la clase de autenticación, pasa directamente a la de autorización.

Brandon Lee Aguero Fernandez

student•

Platzi tiene 3 millones de estudiantes, de los cuales hay estudiantes con los planes expert, basic y free, segun tu tipo de plan podrás acceder a cierto de contenido.

Francisco Martin Nacimiento

student•

Si quieren conocer el framework que menciona en el minuto 1:30, les comparto los links:

Son 2 links, porque menciona uno en inglés, el cual es el primero. Pero encontré estos 2 en la búsqueda.

Víctor Julián González Estrada

student•

Se refiere a la cantidad de permisos que tiene derecho al usuario, ya que algunas personas pueden tener más permisos que otras, Como un hijo mayor, puede salir y llegar más tarde que un hijo menor, esa autorización la porporcionan los padres.

Maria Luna

student•

Autorización sería cuando tienes permitido acceder a una clase de ingles porque estas autorizada ya que pagaste por la clase.

Margarita Velasco Perroni

student•

Cuando te quedas en un Hotel Todo Incluido, pero existen areas donde solo pueden entrar los miebros VIP, aquellos que pagan una membresia a la cadena.

FELIX NADER NUÑEZ

student•

Sala de espera en aeropuerto de hecho es doble autenticacion y acceso, uno para sala de espera que te da autorizacion para usar las salas publicas del aeropuerto y el segundo salas vip dode pasas un proceso de autenticacion/autorizacion ajeno al primero.

Ramiro José López Velásquez

student•

Tipos de usuario en un restaurante 🍝:

Chef 👨🏻‍🍳
- ✅ Acceso a cocinar
- ✅ Acceso a bodega de ingredientes
- ❌ Acceso a comer
Meseros 💁🏻‍♂️
- ✅ Acceso a entrar a cocina
- ✅ Acceso a tomar ordenes
- ✅ Acceso a servir
- ❌ Acceso a comer
- ❌ Acceso a cocinar
Comensales 😋
- ✅ Acceso a sentarse a una mesa
- ✅ Acceso a pedir comida
- ✅ Acceso a comer
- ✅ Acceso a pagar
- ❌ Acceso a cocinar
Alienígena 👽
- ❌ No identificado
- ❌ Sin acceso

Luz Amanda Quilindo Celis

student•

Cuando uno viaja. primero se autentica y luego se valida el vuelo para el que estamos autorizados

Cristian Nahuel Kairiyama

student•

un ejemplo no sé si en conjunto, puede ser que en un colegio la página web, para ingresar al formulario se autentifique(sí sos alumno, profesor o administrador) y se autorice(a realizar algunas acciones Ej. tomar asistencia "profe" o ver condición del alumno "profe y estudiante") se puedan elegir los "permisos" que se dan

Kenny Estiven Raúl Contreras Aguilar

student•

Cuando haces una compra impulsiva y te das la autorización de gastar.

Oscar Alvaro Terceros Beltran

student•

Un ejemplo de autorización es cuando llegamos a un club al que estamos afiliados, si estamos al día en nuestras cuotas, podemos ingresar y hacer uso de las mismas, caso contrario nos pueden denegar el acceso.

Angel Javier Sanchez Tenjo

student•

🐝 Autenticación y autorización en una colmena de abejas

Escenario: Una abeja regresa a la colmena después de recolectar néctar.

🔐 Autenticación (¿Quién eres?)

Al llegar a la entrada de la colmena, las abejas guardianas no permiten el acceso inmediato. Primero, olfatean a la abeja para reconocer su feromona, que funciona como una credencial biológica única.

Si el olor coincide con el de la colmena → la abeja queda autenticada (es quien dice ser).
Si el olor es diferente (por ejemplo, una abeja de otra colmena o un intruso) → acceso denegado.

👉 Aquí, la feromona equivale a un método de autenticación biométrica.

🛂 Autorización (¿Qué puedes hacer?)

Una vez autenticada, no todas las abejas pueden hacer lo mismo dentro de la colmena:

Algunas abejas solo pueden cuidar larvas.
Otras están autorizadas a producir miel.
Solo la reina está autorizada a poner huevos.

👉 Aunque todas estén autenticadas como “abejas de la colmena”, sus permisos son distintos.

Juan Carlos Silva Vargas

student•

Resolviendo el Reto.

Tener tu carné de estudiante de ingenieria te da acceso a las aulas de la universidad y a lugares como la Biblioteca; pero no tienes acceso a la sala de profesores, ni a las actividades para egresados

Omar Velez

student•

entrar al baño del sexo opuesto

Juan Carlos Silva Vargas

student•

Algunos han pretendido resolverlo con baños mixtos #failOption

Benjamin Rodriguez

student•

Dentro del cine, tienes acceso a la sala para la que compraste el boleto, pero solo esa, a diferencia de los empleado que pueden acceder a la gran mayoria de salas.

Autorización y Control de Acceso Basado en Roles

Introducción a OAuth 2.0 y OIDC

OAuth y OpenID Connect: Autenticación y Autorización Básica

¿Qué es la autenticación?

Autorización y Control de Acceso Basado en Roles

Protocolos Open Authorization y OpenID Connect: Alternativas y Comparación

Protección de Endpoints con Autenticación y Autorización Básica

Flujo de Open Authorization y Open ID con Discord

JSON Web Tokens

JSON Web Tokens: Conceptos, Ventajas y Algoritmos de Firma

Comparación de Sesiones y JSON Web Tokens en Autenticación

Firmado de JSON Web Tokens con Librería JWT en Node.js

Verificación de JSON Web Tokens en Node.js

Open Authorization 2.0

Implementación de flujos OAuth 2.0 con APIs populares

Flujos de Autorización en OAuth 2.0: Conceptos y Funcionamiento

Elección del Flujo Oauth 2.0 según Roles del Cliente y Servidor

Implementación de Authorization Code Flow con Spotify y React

Implementación de Authorization CodeFlow con Proofkit en Twitter API

Implementación de Implicit Flow con Twitch en React

Implementación de Client Credentials Flow en Discord

Implementación de Resource Owner Password Flow con Auth0

Open ID Connect

OpenID Connect: Autenticación sobre OAuth paso a paso

Implementación de Implicit Flow con For Post usando Auth0

Implementación del Hybrid Flow en Autenticación de Aplicaciones

OAuth y OIDC en producción

Buenas prácticas y riesgos de los JSON Web Tokens (JWT)

Implementación Segura de Open Authorization (OAuth)

Autenticación Rápida con NextAlt y GitHub en Next.js

Curso Práctico de Autenticación con Outh Zero