KM
Subido porKevin Medina
PPTX, PDF532 vistas

Presentacion-Oauth

Este documento describe OAuth, un protocolo de autorización abierto que permite a aplicaciones y servicios acceder de forma segura a recursos protegidos de otro servicio sin compartir las credenciales del usuario. OAuth permite a los usuarios iniciar sesión en aplicaciones de terceros utilizando cuentas existentes de proveedores como Google o Facebook. Funciona mediante el intercambio de tokens de acceso de corta duración por tokens de actualización de larga duración entre la aplicación, el servidor de autorización y el servidor de recursos.

Incrustar presentación

Descargado 11 veces
OAUTH (Open Authorization; Autorización abierta)
Integrantes  Karina Barrios  Kevin Medina  Degly García  Gabriela Zimeri  Cristóbal Carrera  Aury González  Andrés Herrera  Pablo Hernandez
¿Qué es OAUTH?  OAuth es un framework o protocolo de autorización estándar abierto que describe cómo los servidores y servicios no relacionados pueden permitir acceso autenticado a sus activos de forma segura sin compartir realmente la credencial de inicio de sesión.
¿Cuando fue creado?  Propuesto por BlaineCook y Cris Messina, 3 de octubre de 2007.  Creado y fuertemente apoyado desde el principio por Twitter, Google y otras compañías, OAuth fue lanzado (Oauth 1.0) como un estándar abierto en 2010 como RFC 5849, y rápidamente se hizo ampliamente adoptado. Durante los dos años siguientes, se sometió a revisión sustancial, y la versión 2.0 de OAuth, fue lanzado en 2012 como RFC 6749.
¿Para que Sirve?  Permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.
Como Funciona  Diseñado para trabajar con el Protocolo de transferencia de hipertexto (HTTP).  OAUTH utiliza tokens de acceso que se emitirán a clientes de tercero por medio de un servidor de autenticación, con aprobación del propietario del recurso o el usuario final. El cliente utiliza el token de acceso para acceder a los recursos protegidos alojados en el servidor de recursos.  Es comúnmente usado por usuarios de internet para iniciar sesión en sitios web de terceros usando cuentas de Google, Facebook o Twitter, sin preocuparse que sus credenciales de acceso sean comprometidos.
Como Funciona
Como Funciona Ejemplo con una tienda online usando PayPal. 1. El usuario accede a la tienda online y esta le pide que se loguee con PayPal y el usuario le dice que si. 2. La tienda online le pide a PayPal los datos los datos del usuario . 3. PayPal, no la tienda online, pide al usuario su nombre de usuario y contraseña. 4. El usuario los pone y configura a que datos y que permisos tendrá la tienda online. Posteriormente PayPal y tienda online se intercambian los datos acordados. Si hackean la tienda online no tienen acceso a nada, la tienda online solo tiene un token que solo sirve para acceder a PayPal desde los servidores de la tienda online y solo a una información limitada, ni al usuario, ni a la password, ni la tarjeta de crédito cosa que solo tiene PayPal.
Versiones de OAUTH  Oauth 1.0 RFC 5849 en abril de 2010.  Oauth 2.0 RFC 6749 y RFC 6750 en octubre de 2012, todavía hoy se siguen desarrollando nuevas funcionalidades.
Quien usa OUATH
Ventajas y Desventajas VENTAJAS  Si a aplicación es hackeada, los usuarios y contraseñas del usuario quedan a salvo en otro servidor de autenticación, ejemploTwitter.  Cada par de tokens es único. Cada sitio web o aplicación tiene un par distinto para cada usuario, así que si alguien consiguiese todos lo pares, no le servirán de nada porque solo sirven para acceder al sitio(Facebook/Twitter) desde un único sitio DESVENTAJAS  Algunas aplicaciones a las que accedes usando Facebook oTwitter postean en tu perfil.
Tiempos de Caducidad de un Token El tiempo de caducidad de un token lo determina el proveedor de servicios ya que ellos determinan cuanto tiempo la información estará disponible para su consulta. Por ejemplo un access_token de la API de Google viene con un valor de expires_in que indica la vida útil restante del token de acceso, en este caso el token tiene un tiempo de vida de 1 hora a partir de que la respuesta fue generada. expires_in: la cantidad de segundos que faltan para que el token deje de ser válido.
¿Por queToken deAcceso a corto plazo? La idea general es permitir que los proveedores emitan tokens de acceso a corto plazo con tokens de actualización a largo plazo. ¿Por qué?  Muchos proveedores admiten tokens de portador que son muy débiles en cuanto a seguridad. Al hacer que sean efímeros y que requieran actualización, limitan el tiempo que un atacante puede abusar de un token robado.  La implementación a gran escala no quiere realizar una búsqueda de base de datos en cada llamada API, por lo que en su lugar, emiten token de acceso autocodificado que se pueden verificar mediante descifrado. Sin embargo, esto también significa que no hay forma de revocar estos tokens, por lo que se emiten durante un breve período de tiempo y deben actualizarse.  El token de actualización requiere autenticación del cliente que lo hace más fuerte. A diferencia de los tokens de acceso anteriores, por lo general se implementa con una búsqueda en la base de datos. Es esencialmente una medida de seguridad. Si su aplicación está comprometida, el atacante solo tendrá acceso al token de acceso de corta duración y no podrá generar uno nuevo. Los tokens de actualización también caducan pero se supone que deben vivir mucho más tiempo que el token de acceso.
Ejemplo Practico

Más contenido relacionado

PDF
API Security Best Practices & Guidelines
porPrabath Siriwardena
 
PDF
OWASP Top 10 API Security Risks
porIndusfacePvtLtd
 
PPTX
An introduction to api testing | David Tzemach
porDavid Tzemach
 
PPTX
Splunk
porDeep Mehta
 
PDF
FireEye Solutions
porPrime Infoserv
 
PPTX
IDS n IPS
porSAurabh PRajapati
 
PDF
Finding Bugs FASTER with Fuzzing
porAlper Başaran
 
PDF
Nmap tutorial
porVarun Kakumani
 
API Security Best Practices & Guidelines
porPrabath Siriwardena
 
OWASP Top 10 API Security Risks
porIndusfacePvtLtd
 
An introduction to api testing | David Tzemach
porDavid Tzemach
 
Splunk
porDeep Mehta
 
FireEye Solutions
porPrime Infoserv
 
IDS n IPS
porSAurabh PRajapati
 
Finding Bugs FASTER with Fuzzing
porAlper Başaran
 
Nmap tutorial
porVarun Kakumani
 

La actualidad más candente

PPTX
Rest API Security - A quick understanding of Rest API Security
porMohammed Fazuluddin
 
PPTX
API Security Fundamentals
porJosé Haro Peralta
 
PDF
Insecure direct object reference (null delhi meet)
porAbhinav Mishra
 
PPTX
POSTMAN.pptx
porRamaKrishna970827
 
PPTX
B4USolution_API-Testing
porb4usolution .
 
PDF
Secure coding guidelines
porZakaria SMAHI
 
PPTX
MITRE ATT&CK framework
porBhushan Gurav
 
PDF
Building Security Operation Center
porS.E. CTS CERT-GOV-MD
 
PPTX
Secure coding practices
porScott Hurrey
 
PPTX
VAPT - Vulnerability Assessment & Penetration Testing
porNetpluz Asia Pte Ltd
 
PPTX
Owasp
porpenetration Tester
 
PPT
Introduction To OWASP
porMarco Morana
 
PDF
Api security-testing
porn|u - The Open Security Community
 
PDF
Building a Next-Generation Security Operations Center (SOC)
porSqrrl
 
PPT
Module 5 Sniffers
porleminhvuong
 
PPTX
SOAR and SIEM.pptx
porAjit Wadhawan
 
PDF
Security Bootcamp 2013 - OWASP TOP 10- 2013
porSecurity Bootcamp
 
PPTX
Nmap
porSreekanth Narendran
 
PPTX
Splunk Phantom SOAR Roundtable
porSplunk
 
PDF
SIEM POC Assessment.pdf
porReZa AdineH
 
Rest API Security - A quick understanding of Rest API Security
porMohammed Fazuluddin
 
API Security Fundamentals
porJosé Haro Peralta
 
Insecure direct object reference (null delhi meet)
porAbhinav Mishra
 
POSTMAN.pptx
porRamaKrishna970827
 
B4USolution_API-Testing
porb4usolution .
 
Secure coding guidelines
porZakaria SMAHI
 
MITRE ATT&CK framework
porBhushan Gurav
 
Building Security Operation Center
porS.E. CTS CERT-GOV-MD
 
Secure coding practices
porScott Hurrey
 
VAPT - Vulnerability Assessment & Penetration Testing
porNetpluz Asia Pte Ltd
 
Owasp
porpenetration Tester
 
Introduction To OWASP
porMarco Morana
 
Api security-testing
porn|u - The Open Security Community
 
Building a Next-Generation Security Operations Center (SOC)
porSqrrl
 
Module 5 Sniffers
porleminhvuong
 
SOAR and SIEM.pptx
porAjit Wadhawan
 
Security Bootcamp 2013 - OWASP TOP 10- 2013
porSecurity Bootcamp
 
Nmap
porSreekanth Narendran
 
Splunk Phantom SOAR Roundtable
porSplunk
 
SIEM POC Assessment.pdf
porReZa AdineH
 

Similar a Presentacion-Oauth

PPTX
GFI - Seguridad en tus APIs
porGFI Informática
 
PDF
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
porEudris Cabrera
 
PDF
Entendiendo o auth
porEduard Tomàs
 
PPTX
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
porMiguel Ángel Sánchez Chordi
 
PPTX
OAuth and OpenID
porAlbert Lozano Ciller
 
PPT
Open ID
porAlex Godinez
 
PDF
Introducción al Protocolo OAuth 2.0
porÁlvaro Alonso González
 
PDF
Semana 5 JWT
porRichard Eliseo Mendoza Gafaro
 
PPTX
Autenticación vs. Autorización - ¿Cómo trabajar con el protocolo OAuth?
pormelidevelopers
 
PPTX
Autenticación vs Autorización -¿Cómo trabajar con el protocolo OAUTH?.
pormelidevelopers
 
PPTX
Autorización - Leandro Bertalot
porfsolari
 
PDF
Oauth v2-rev
porKarla Mesarina
 
PDF
Meetup En mi local funciona - Protegiendo tu API REST con JWT en aplicaciones...
poratSistemas
 
PPTX
Meetup TCMS OAuth2
porBrenda Costa Bojanich
 
PPTX
Oauth (Open Authorization)
porKevyn Aguilar
 
PDF
OAuth
porRafael Vázquez Sánchez
 
PDF
SSO mobile 3 opciones
porMariano German Egui
 
PPTX
Open ID
porMauricio España
 
PPT
Identidad en la Red y portabilidad de datos personales
porsgua
 
PPTX
Apis webapps
porJorge Garcia
 
GFI - Seguridad en tus APIs
porGFI Informática
 
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
porEudris Cabrera
 
Entendiendo o auth
porEduard Tomàs
 
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
porMiguel Ángel Sánchez Chordi
 
OAuth and OpenID
porAlbert Lozano Ciller
 
Open ID
porAlex Godinez
 
Introducción al Protocolo OAuth 2.0
porÁlvaro Alonso González
 
Semana 5 JWT
porRichard Eliseo Mendoza Gafaro
 
Autenticación vs. Autorización - ¿Cómo trabajar con el protocolo OAuth?
pormelidevelopers
 
Autenticación vs Autorización -¿Cómo trabajar con el protocolo OAUTH?.
pormelidevelopers
 
Autorización - Leandro Bertalot
porfsolari
 
Oauth v2-rev
porKarla Mesarina
 
Meetup En mi local funciona - Protegiendo tu API REST con JWT en aplicaciones...
poratSistemas
 
Meetup TCMS OAuth2
porBrenda Costa Bojanich
 
Oauth (Open Authorization)
porKevyn Aguilar
 
OAuth
porRafael Vázquez Sánchez
 
SSO mobile 3 opciones
porMariano German Egui
 
Open ID
porMauricio España
 
Identidad en la Red y portabilidad de datos personales
porsgua
 
Apis webapps
porJorge Garcia
 

Presentacion-Oauth

  • 1.
  • 2.
    Integrantes  Karina Barrios Kevin Medina  Degly García  Gabriela Zimeri  Cristóbal Carrera  Aury González  Andrés Herrera  Pablo Hernandez
  • 3.
    ¿Qué es OAUTH?  OAuthes un framework o protocolo de autorización estándar abierto que describe cómo los servidores y servicios no relacionados pueden permitir acceso autenticado a sus activos de forma segura sin compartir realmente la credencial de inicio de sesión.
  • 4.
    ¿Cuando fue creado?  Propuestopor BlaineCook y Cris Messina, 3 de octubre de 2007.  Creado y fuertemente apoyado desde el principio por Twitter, Google y otras compañías, OAuth fue lanzado (Oauth 1.0) como un estándar abierto en 2010 como RFC 5849, y rápidamente se hizo ampliamente adoptado. Durante los dos años siguientes, se sometió a revisión sustancial, y la versión 2.0 de OAuth, fue lanzado en 2012 como RFC 6749.
  • 5.
    ¿Para que Sirve?  Permiteautorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.
  • 6.
    Como Funciona  Diseñado paratrabajar con el Protocolo de transferencia de hipertexto (HTTP).  OAUTH utiliza tokens de acceso que se emitirán a clientes de tercero por medio de un servidor de autenticación, con aprobación del propietario del recurso o el usuario final. El cliente utiliza el token de acceso para acceder a los recursos protegidos alojados en el servidor de recursos.  Es comúnmente usado por usuarios de internet para iniciar sesión en sitios web de terceros usando cuentas de Google, Facebook o Twitter, sin preocuparse que sus credenciales de acceso sean comprometidos.
  • 7.
  • 8.
    Como Funciona Ejemplo con unatienda online usando PayPal. 1. El usuario accede a la tienda online y esta le pide que se loguee con PayPal y el usuario le dice que si. 2. La tienda online le pide a PayPal los datos los datos del usuario . 3. PayPal, no la tienda online, pide al usuario su nombre de usuario y contraseña. 4. El usuario los pone y configura a que datos y que permisos tendrá la tienda online. Posteriormente PayPal y tienda online se intercambian los datos acordados. Si hackean la tienda online no tienen acceso a nada, la tienda online solo tiene un token que solo sirve para acceder a PayPal desde los servidores de la tienda online y solo a una información limitada, ni al usuario, ni a la password, ni la tarjeta de crédito cosa que solo tiene PayPal.
  • 9.
    Versiones de OAUTH  Oauth1.0 RFC 5849 en abril de 2010.  Oauth 2.0 RFC 6749 y RFC 6750 en octubre de 2012, todavía hoy se siguen desarrollando nuevas funcionalidades.
  • 10.
  • 11.
    Ventajas y Desventajas VENTAJAS  Sia aplicación es hackeada, los usuarios y contraseñas del usuario quedan a salvo en otro servidor de autenticación, ejemploTwitter.  Cada par de tokens es único. Cada sitio web o aplicación tiene un par distinto para cada usuario, así que si alguien consiguiese todos lo pares, no le servirán de nada porque solo sirven para acceder al sitio(Facebook/Twitter) desde un único sitio DESVENTAJAS  Algunas aplicaciones a las que accedes usando Facebook oTwitter postean en tu perfil.
  • 12.
    Tiempos de Caducidad de unToken El tiempo de caducidad de un token lo determina el proveedor de servicios ya que ellos determinan cuanto tiempo la información estará disponible para su consulta. Por ejemplo un access_token de la API de Google viene con un valor de expires_in que indica la vida útil restante del token de acceso, en este caso el token tiene un tiempo de vida de 1 hora a partir de que la respuesta fue generada. expires_in: la cantidad de segundos que faltan para que el token deje de ser válido.
  • 13.
    ¿Por queToken deAcceso a cortoplazo? La idea general es permitir que los proveedores emitan tokens de acceso a corto plazo con tokens de actualización a largo plazo. ¿Por qué?  Muchos proveedores admiten tokens de portador que son muy débiles en cuanto a seguridad. Al hacer que sean efímeros y que requieran actualización, limitan el tiempo que un atacante puede abusar de un token robado.  La implementación a gran escala no quiere realizar una búsqueda de base de datos en cada llamada API, por lo que en su lugar, emiten token de acceso autocodificado que se pueden verificar mediante descifrado. Sin embargo, esto también significa que no hay forma de revocar estos tokens, por lo que se emiten durante un breve período de tiempo y deben actualizarse.  El token de actualización requiere autenticación del cliente que lo hace más fuerte. A diferencia de los tokens de acceso anteriores, por lo general se implementa con una búsqueda en la base de datos. Es esencialmente una medida de seguridad. Si su aplicación está comprometida, el atacante solo tendrá acceso al token de acceso de corta duración y no podrá generar uno nuevo. Los tokens de actualización también caducan pero se supone que deben vivir mucho más tiempo que el token de acceso.
  • 14.