Hace algo más de tres años escribí una serie de artículos sobre OAuth 2.0 y los diferentes flujos que podíamos utilizar en nuestras aplicaciones. Lo cierto es que es una de las series más vistas a diario en mi blog…
Posts tagged OAuth 2.0
Proteger una API en Node.js con Azure Active Directory
Hace un par de años escribí una serie de artículos donde explicaba cómo funcionaba OAuth 2.0 y los diferentes componentes que se necesitaban para los flujos que se pueden implementar. Sin embargo, es comprensible que a veces confundamos algunos de…
Crear una API con scopes y Azure Active Directory
Te habrás dado cuenta de que muchas de las APIs que exponen terceros basan su acceso a la misma en lo que se conoce como scopes. Ya te he hablé de todo ello cuando escribí los artículos sobre OAuth 2…
Eliminar consentimientos en las aplicaciones de Azure Active Directory
Si estás probando diferentes scopes para tus aplicaciones integradas con Azure Active Directory, es posible que notes que cuando estás jugando con los mismos usuarios, los cuales ya han dado su consentimiento, a veces tengas comportamientos extraños (Si no sabes…
Integrar el flujo Authorization Code y PKCE para evitar ataques de interceptación del código
Actualizado el 23/12/2022 Si bien el flujo Authorization Code se considera el más seguro de todos, se ha demostrado que, en aplicaciones nativas, el código que otorga el servidor de autorización puede ser interceptado por aplicaciones maliciosas, haciéndose así con…
Ejemplo de Device Code Flow de OAuth 2.0
Actualizado el 23/12/2022 ¿Y si no tuviéramos un navegador en el dispositivo al que queremos dar permisos? Piensa en una televisión, una impresora, un asistente personal, un dispositivo IoT, etcétera. Por todo ello apareció un nuevo flujo en OAuth 2.0…
Ejemplo de Resource Owner Password Credentials (ROPC) Flow de OAuth 2.0
Actualizado el 23/12/2022 Ya hemos visto cómo usar OAuth 2.0 a través de los flujos Authorization Code, Implicit y Client Credentials. Todos ellos están enfocados a que las aplicaciones modernas tengan la mínima exposición de las credenciales de sus usuarios,…
Ejemplo de Client Credentials Flow de OAuth 2.0
Actualizado el 23/12/2022 Hay aplicaciones que no necesitan interactuar en nombre de los usuarios. Más bien, si se realiza cualquier tipo de acción, se hará en nombre de la propia aplicación. En el artículo de hoy vamos a ver el…
Actualizar access tokens cuando usas Implicit Flow
Actualizado el 22/12/2022 Los tokens que el servidor de autorización otorga, después de una autenticación correcta del usuario, tienen un tiempo de expiración. Sin embargo, si los usuarios tuvieran que estar continuamente autenticándose sería una pésima experiencia para ellos. Con…
Ejemplo de Implicit Flow de OAuth 2.0
Actualización del 26/12/2022: este flujo ya no es el recomendado, sino Authorization Code Flow con PKCE. Mira este artículo más reciente. Si tu aplicación no es capaz de guardar un secreto, porque esta se ejecuta completamente en el lado del cliente, Implicit…
Ejemplo de Authorization Code Flow de OAuth 2.0
Actualizado el 21/12/2022 Después de la explicación, viene el ejemplo 🤓 Ahora que ya sabes todos los flujos que existen a día de hoy, quiero ver contigo cada uno de ellos a través de un ejemplo.No he querido utilizar ninguna…
OAuth 2.0, OpenID Connect y JSON Web Tokens (JWT) ¿Qué es qué?
Este artículo va ser largo, pero también aclaratorio de algunos conceptos que en muchas ocasiones son incomprendidos por muchos y hace que la integración de las aplicaciones con proveedores de identidad se haga muy, pero que muy, cuesta arriba. Hoy…