Conceptos básicos:
- Autorización
Otorgar permisos a un usuario para limitar sus accesos. - Autenticación
Verificar la identidad del usuario (usuario existe, permisos adecuados, …).- Autenticación tradicional
+---------+ +--------+ | | -------> | | | Browser | | Server | | | <------- | | +---------+ +--------+ cookie session created created
- Autenticación con tokens
+---------+ +--------+ | | -------> | | | Browser | | Server | | | <------- | | +---------+ +--------+ token token saved signed
- Autenticación tradicional
OAuth
Para autorización
- Resource owner (user): Entidad que concede acceso a recursos protegidos
- Resource server (Service API): Almacena recursos protegidos
- Client (aplicación): Pide recursos protegidos en nombre del resource owner
- Authorization server (Service API): Autentica que el RO es valido y genera los access token
OpenID Connect
Para autenticación
- Capa adicional basada en OAuth.
- Verificar que el usuario está autenticado e información básica
- Información más completa del usuario
- Indica cómo hacer el manejo de sesión (logout, SSO)
AngelFQC 