Server-side vs Client-side sessions

Clase 8 de 39 • Curso de Autenticación con Passport.js 2019

Contenido del curso

Aprender sobre autenticación y autorización

Conocer qué son los JSON Web Tokens

Entender cómo funcionan las cookies

Implementar autenticación en Express usando Passport.js

Entender qué es OAuth 2.0 y OpenID Connect

28
¿Qué es OAuth 2.0 y OpenID Connect?
04:25 min

Implementar autenticación con redes sociales

Asegurar tu aplicación de Express

Tomar examen

Sesiones del lado del servidor vs sesiones del lado del cliente

¿Qué es una sesión?

En terminos generales una sesion es una manera de preservar un estado deseado.

¿Qué es una sesion del lado del servidor?

La sesión en el lado del servidor suele ser una pieza de información que se guarda en memoria o en una base de datos y esta permite hacerle seguimiento a la información de autenticación, con el fin de identificar al usuario y determinar cuál es el estado de autenticación. Mantener la sesión de esta manera en el lado del servidor es lo que se considera "stateful", es decir que maneja un estado.

¿Qué es una sesión del lado del cliente?

Las SPA (Single-page apps) requieren una manera de saber si el usuario esta autenticado o no. Pero esto no se puede hacer de una manera tradicional porque suelen ser muy desacopladas con el backend y no suelen refrescar la página como lo hacen las aplicaciones renderizadas en el servidor.

JWT (JSON Web Token) es un mecanismo de autenticación sin estado, lo que conocemos como "stateless". Lo que significa que no hay una sesión que exista del lado del servidor.

La manera como se comporta la sesión del lado del cliente es:

Cuando el usuario hace "login" agregamos una bandera para indicar que lo esta.
En cualquier punto de la aplicación verificamos la expiración del token.
Si el token expira, cambiamos la bandera para indicar que el usuario no está logueado.
Se suele chequear cuando la ruta cambia.
Si el token expiró lo redireccionamos a la ruta de "login" y actualizamos el estado como "logout".
Se actualiza la UI para mostrar que el usuario ha cerrado la sesión.

Comentarios

Geovanny G. Arguello Costta

student•

Dando un tiempo de expiración al token al firmarlo.

jwt.sign({data: 'foobar'}, 'secret', { expiresIn: '1h' });

expiresIn: expresado en segundos o una cadena que describe un intervalo de tiempo. Por ejemplo: 60, "2 days", "10h", "7d". Un valor numérico se interpreta como un recuento de segundos. Si usa una cadena, asegúrese de proporcionar las unidades de tiempo (días, horas, etc.), de lo contrario, la unidad de milisegundos se usa de manera predeterminada ( "120" es igual a "120ms").

Lo extraje del enlace proporcionado por el profe

Wandy Rafael Santana Evangelista

student•

Hola devs: Les tengo unas lecturas que les ayudaran a conocer mas sobre los tokens y todo este mundo maravillos, les tengo un articulo de el propio Auth0, espero que aprendan mucho: Click Aqui, articulo de Auth0 Click Aqui, articulo sobre la seguridad de nuestras apps React-Redux con JWT

Manuel Rivera

student•

Gracias man

Walter Lensinas

student•

¿Cómo es el control para saber que un token expiro? ¿Donde se asigna ese límite de tiempo?

Guillermo Rodas

teacher•

Cuando se firma el token es posible mediante la opción expiresIn especificar el tiempo de expiración: https://github.com/auth0/node-jsonwebtoken#jwtsignpayload-secretorprivatekey-options-callback por defecto el metodo jwt.verify va a validar si el token no ha expirado.

Alejandro González Reyes

student•

El punto importante en todo este apunte es Desacoplar nuestras aplicaciones. Backend || FrontEnd || Database.

Maximiliano Gabriel Minetto Fellosa

student•

Unas correcciones de ortografía, "esta" es en referencia a un objeto o persona y "está" es del verbo estar, presente indicativo en tercera persona.

;)

Carlos Enrique Ramírez Flores

student•

Contenido para reforzar: https://programacionymas.com/blog/jwt-vs-cookies-y-sesiones

Jose Daniel Molina

student•

Muchas gracias por el contenido! Fué de gran ayuda

Angie Mayoli Cortes Montaño

student•

Gracias Compañero!!!

Daniela Londono

student•

y si se le pone una expiracion al token, y el usario esta usando la app pero su token expira hay alguna manera de renovarselo sin que el usuario pierda la sesion ?, no se si fui claro

Daniel Esteves

student•

Lo que puedes hacer es verificar cuando el usuario esté conectado si el token va a expirar y crearle uno nuevo, normalmente he visto que los token duran un año en la sesión

Edwin Valencia

student•

Cómo puedo asegurar mejor un API, para que solo sea consumida desde ciertos clientes, a parte de CORS? CSRF Token y JWT serían necesarios?

Daniel Esteves

student•

Puedes hacerlo con CORS para que solo acepte peticiones de un dominio o aplicación a través de una key y así lo puedes asegurar

Daniel Hurtado

student•

Que pasa o que hacemos cuando queremos cerrar todas las sesiones abiertas de un usuario, o sea, invalidar todos sus tokens. Por ejemplo, en netflix cuando seleccionamos "cerrar sesión en todos los dispositivos", al estar la info de la sesión solo en el cliente no podríamos manejarla en el backend. Cual sería una solución a esto?

Diego Alejandro Zacarias

student•

aca hay varios temas, lo recomendable es que los tokens no tengan un tiempo de vida muy prolongado, para que sea transparente para el usuario existe algo que se llama refresh token, este es un token especial que permite a la aplicacion solicitar un nuevo token cuando ya esta por vencer o ya ha vencido el que tiene la aplicacon, esto sin necesidad que el usuario ingrese sus crendenciales.

en el caso que mencionas, el refresh token se pone en una blacklist de esta manera no puede requerir un nuevo token y requiere que el usuario vuelva a ingresar sus crendeciales.

Daniel Hurtado

student•

@zach vale! me parece muy clara tu explicación, muchas gracias

Alejandro Cepeda

student•

como puedo usar passport.js para otorgar permisos de tipo client authentication, clientes que no envian username ni password, por ejemplo un arduino, o aplicaiones de terceros.

Daniel Esteves

student•

¿Podrías ser un poco más específico con la pregunta?

Wilson Fabian Pérez Sucuzhañay

student•

Pero como podemos hacer tokens con tiempo y auto refresh es decir que no nos que de la sesión sino que vuelva a pedir un token con otro tiempo ?

Andres Roberto Coello Goyes

student•

Llevo probando varias meneras de como hacer un session con JWT en SPA, SSR y eh tenido que guardar en localStorage veo que no es una buena forma. ahora aprendere con COOKIES

Naldo Duran

student•

✌

Carlos Alfonso Garcia Rivera

student•

entiendo como funcionan los jwt y como se maneja del lado del cliente las SPA al no interactuar tanto con el servidor o no ser renderizadas del lado del servidor son stateless y entonces hacemos uso de jwt

Juan David González Rodríguez

student•

Siempre me preguntaba como funcionaban las sesiones y para que se usaban ... Platzi es Genial !! Gracias :D

David Cruz Portilla

student•

Wow, excelente explicación!

Beto Martinez

student•

Excelente explicacion.

Agustin Vazquez

student•

No se si estara en otra clase, pero como se maneja una sesion en caso de que una persona cierre el navegador? la sesion deberia vencer despues de un determinado tiempo? y en caso de que asi sea, la sesion se debe renovar cada vez que un usuario realiza una accion para que no pierda la sesion por tiempo?

Fernando Castelan

student•

Así es, el token lo puedes guardar en localStorage y cuando vuelvas a iniciar la aplicación despues de un tiempo la peticion que hagas al servidor va a buscar si tienes un webToken valido (Realmente lo mandas en una peticion) el servidor verifica si ese token es valido o si sigue siendo valido y en caso de que no sea así manda la señal de que tu estado es como si no hubieses iniciado sesión. Es importante que cuando eso suceda borres el WebToken de tu localStorage para que puedas almacenar uno nuevo. Espero haberte ayudado

Fernando Castelan

student•

Acabo de ver la clase que sigue y no se debe de almacenar en LocalStorage xD pero puedes usar una cookie

Cristofher Jumbo Jimenez

student•

Entiendo, entonces con SSR dejamos que el servidor haga la autenticacion y en el caso de estar del lado del cliente con un SSC, usamos JWT para que haga esta verificacion ya que nos desacoplamos del baackend, y por lo tanto tambien del servidor. En este ultimo caso tenemos que estar pendiente del JWT para saber si el usuario esta logeado o no? Mucho Platzi :green_heart:

Iliana Iraheta

student•

Gracias

Server-side vs Client-side sessions

Aprender sobre autenticación y autorización

Lo que aprenderás sobre Passport.js

Stack de seguridad moderno

¿Qué es la autenticación y la autorización ?

Introducción a las sesiones

Conocer qué son los JSON Web Tokens

Anatomía de un JWT

Autenticación tradicional vs JWT

Firmando y Verificando nuestro JWT