OAuth + OpenID Connect

Conceptos básicos:

  • Autorización
    Otorgar permisos a un usuario para limitar sus accesos.
  • Autenticación
    Verificar la identidad del usuario (usuario existe, permisos adecuados, …).
    • Autenticación tradicional
      +---------+          +--------+
      |         | -------> |        | 
      | Browser |          | Server |
      |         | <------- |        |
      +---------+          +--------+
        cookie              session
        created             created
    • Autenticación con tokens
      +---------+          +--------+
      |         | -------> |        | 
      | Browser |          | Server |
      |         | <------- |        |
      +---------+          +--------+
         token               token
         saved               signed

OAuth

Para autorización

  • Resource owner (user): Entidad que concede acceso a recursos protegidos
  • Resource server (Service API): Almacena recursos protegidos
  • Client (aplicación): Pide recursos protegidos en nombre del resource owner
  • Authorization server (Service API): Autentica que el RO es valido y genera los access token

OpenID Connect

Para autenticación

  • Capa adicional basada en OAuth.
  • Verificar que el usuario está autenticado e información básica
  • Información más completa del usuario
  • Indica cómo hacer el manejo de sesión (logout, SSO)

Publicado por

AngelFQC

Ingeniero de Sistemas y Computación - Desarrollador Web. Desarrollador de Chamilo LMS en BeezNest Mozilla Rep

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s