Saltar al contenido principal
Utilizamos cookies propias y de terceros para mejorar la experiencia del usuario a través de su navegación. Si continúas navegando aceptas su uso. Política de cookies  

¿Qué es OAuth?

  • Actualización

La Open Authorization, más conocida como OAuth, es un estándar de seguridad que administra la identidad y el acceso de los consumidores a los productos API. Este protocolo autoriza a una aplicación el consumo de un servicio (aplicación consumidora) sin requerir las credenciales, nombres o contraseñas de los usuarios.

 

Este mecanismo de autorización puede variar de acuerdo con las condiciones bajo las que se implemente, sin embargo, este mecanismo consiste comúnmente en:

  1. La aplicación consumidora solicita permisos para acceder a los servicios de la aplicación proveedora, en este caso el producto de API.
  2. Si el servicio proveedor acepta la solicitud, la aplicación consumidora obtendrá una concesión de autorización.
  3. Con la concesión de autorización que previamente se ha obtenido, la aplicación consumidora solicita un access token al authorization server.
  4. El servidor de autenticación confirma la identidad de la aplicación consumidora y valida que la concesión de autorización sea legitima. Si se validan correctamente ambos aspectos el servidor le entrega un access token a la aplicación consumidora.

El access token que obtiene el consumidor, será enviado en la próxima petición que haga a los servicios de la aplicación proveedora y de esta forma, al garantizar que el access token es válido, el servidor que almacena los recursos le dará acceso al servicio.

 

Es por ello que, en el estándar OAuth, se identifican cuatro roles: el cliente o aplicación consumidora, el dueño del recurso o dueño de la aplicación proveedora, el servidor de autorización y el servidor que almacena y entrega los recursos.

 

Así mismo, es importante diferenciar la autenticación de la autorización. La primera, por su parte, busca identificar la identidad que un usuario dice ser, mientras que la segunda, concede permisos de acceso a los usuarios autenticados sobre ciertos recursos. El estándar OAuth opera bajo el mecanismo de autorización, determinando quien puede, o no, acceder a las capacidades ofrecidas por los productos de API.

 

Los beneficios percibidos con este mecanismo de seguridad son varios, por un lado, desde el frente proveedor ofrece un mecanismo eficaz para controlar el permiso y el acceso a sus servicios. Por otro lado, las aplicaciones consumidoras podrán acceder a los servicios solicitados sin la necesidad de revelar sus credenciales a la capa proveedora.

A continuación, te brindamos el paso a paso que debes seguir en Insomnia para configurar el OAuth:

  1. Ubícate en la pestaña de Auth types.
  2. Selecciona en type: OAuth 2.0.

  3. En el campo Grant Type selecciona la opción de acuerdo con el flujo de la API.


     

  4. En el campo Access Token URL, verifica que la url sea la correspondiente.
  5. Registra tus credenciales de Client ID y Cliente Secret, que debes tener generadas al crear la aplicación en el portal.
  6. Registra el scope correspondiente a la capacidad a consumir, éste lo encuentras en el path de la operación.

     

  7. Para obtener el token, da clic en el botón Fetch Tokens que encontrarás en la parte inferior (cada token tiene una vigencia de 20 minutos).


     

  8. En la casilla access token obtendrás el token generado

     

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.