Implementación de flujos OAuth 2.0 con APIs populares

Clase 11 de 25Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Clase anteriorSiguiente clase

Resumen

¿Qué es OAuth 2.0?

OAuth 2.0, como sugiere su nombre, es un protocolo de estandarización utilizado para la autorización de terceros. Se ha convertido en una herramienta crucial en la industria para otorgar permisos a aplicaciones de terceros, permitiendo así el acceso a recursos protegidos sin compartir credenciales sensibles del usuario. Este protocolo se basa en cuatro roles cardinales:

  • Cliente: Puede ser cualquier tipo de aplicación, como aplicaciones web, móviles o incluso aplicaciones nativas de escritorio.
  • Authorization Server: Se encarga de autenticar y verificar tokens. Es aquí donde se gestionan las solicitudes de autorización.
  • Resource Owner: El usuario que otorga acceso a sus datos.
  • Resource Server: El servidor que contiene los recursos a los que se desea acceder con el token autorizado.

¿Cuáles son los términos clave en OAuth 2.0?

Conocer la terminología asociada a OAuth 2.0 es fundamental para una implementación exitosa. Aquí algunos términos importantes:

  • Request Terms:
    • URL de redirección
    • Consent Request: La pantalla donde el usuario autoriza la aplicación.
    • Scopes: Permisos que la aplicación solicita.
    • Authorization Grant: Un código que se obtiene después de la autorización.
  • Client Terms:
    • Client ID y Client Secret: Similar a un usuario y contraseña para una aplicación cliente. Todos los clientes deben estar registrados con el Authorization Server.
    • Access Token: Usado para acceder a los recursos.
    • ID Token: Un token especial en flujos de OpenID Connect.

¿Cómo es el flujo de autorización en OAuth?

El flujo de autorización en OAuth se puede visualizar en varios pasos, que detallan cómo una aplicación cliente interactúa con un usuario y el Authorization Server:

  1. Solicitud de autorización: La aplicación cliente inicia un authorization request. No es necesario que esta solicitud sea confidencial, ya que se puede realizar desde el frontend.

  2. Consentimiento del usuario: Si el usuario no está autenticado, el Authorization Server solicitará inicio de sesión. Luego, mostrará el consent request con los scopes solicitados.

  3. Obtención del Authorization Grant: Una vez que el usuario autoriza, se genera un Authorization Grant que es enviado al cliente.

  4. Intercambio del Authorization Grant por un Access Token: Este paso debe realizarse en el backend, utilizando el Client ID y el Client Secret. Si el Authorization Server verifica la validez del código y la autenticidad del cliente, proporciona un Access Token.

  5. Acceso a recursos protegidos: Con el Access Token, el cliente puede hacer solicitudes al Resource Server y así acceder a recursos protegidos.

Es interesante destacar que, aunque el Authorization Server y el Resource Server suelen formar parte de la misma entidad, en algunos casos pueden ser sistemas separados.

¿Cómo se implementarán estos flujos en aplicaciones reales?

El módulo incluyó ejemplos prácticos de implementación con diferentes servicios:

  1. Authorization Code Flow con Spotify: Se utiliza cuando se prioriza la seguridad, dado que el intercambio de tokens se realiza en el backend.

  2. Authorization Code Flow con PKCE en el API de Twitter: Reforzado con Proof Key for Code Exchange para mayor seguridad en aplicaciones móviles.

  3. Implicit Flow con Twitch: Más ligero y rápido, adecuado para aplicaciones donde se confía en el entorno del cliente.

  4. Client Credentials mediante Discord: Utilizado cuando las aplicaciones necesitan autenticar sin el contexto de un usuario específico.

  5. Resource Owner Password Flow con Auth0: Proporciona acceso directo con nombre de usuario y contraseña del usuario.

Este enfoque práctico y detallado no solo ayuda a entender los flujos teóricos, sino que también prepara para su implementación en situaciones del mundo real. Sea cual sea la aplicación escogida, siempre es esencial considerar la seguridad y la eficiencia en la implementación de OAuth.

¡No te desanimes si al principio parece complejo! Con práctica y los correctos conocimientos podrás implementar con éxito OAuth 2.0 en tus proyectos.