SlideShare una empresa de Scribd logo
OAUTH
(Open Authorization; Autorización abierta)
Integrantes
 Karina Barrios
 Kevin Medina
 Degly García
 Gabriela Zimeri
 Cristóbal Carrera
 Aury González
 Andrés Herrera
 Pablo Hernandez
¿Qué es
OAUTH?
 OAuth es un framework o protocolo de autorización estándar
abierto que describe cómo los servidores y servicios no
relacionados pueden permitir acceso autenticado a sus activos de
forma segura sin compartir realmente la credencial de inicio de
sesión.
¿Cuando fue
creado?
 Propuesto por BlaineCook y Cris Messina, 3 de octubre de 2007.
 Creado y fuertemente apoyado desde el principio por Twitter,
Google y otras compañías, OAuth fue lanzado (Oauth 1.0) como
un estándar abierto en 2010 como RFC 5849, y rápidamente se
hizo ampliamente adoptado. Durante los dos años siguientes, se
sometió a revisión sustancial, y la versión 2.0 de OAuth, fue
lanzado en 2012 como RFC 6749.
¿Para que
Sirve?
 Permite autorización segura de una API de modo estándar y
simple para aplicaciones de escritorio, móviles y web.
Como
Funciona
 Diseñado para trabajar con el Protocolo de transferencia de
hipertexto (HTTP).
 OAUTH utiliza tokens de acceso que se emitirán a clientes de
tercero por medio de un servidor de autenticación, con aprobación
del propietario del recurso o el usuario final. El cliente utiliza el
token de acceso para acceder a los recursos protegidos alojados
en el servidor de recursos.
 Es comúnmente usado por usuarios de internet para iniciar sesión
en sitios web de terceros usando cuentas de Google, Facebook o
Twitter, sin preocuparse que sus credenciales de acceso sean
comprometidos.
Como
Funciona
Como
Funciona
Ejemplo con una tienda online usando PayPal.
1. El usuario accede a la tienda online y esta le pide que se loguee con
PayPal y el usuario le dice que si.
2. La tienda online le pide a PayPal los datos los datos del usuario .
3. PayPal, no la tienda online, pide al usuario su nombre de usuario y
contraseña.
4. El usuario los pone y configura a que datos y que permisos tendrá la
tienda online.
Posteriormente PayPal y tienda online se intercambian los datos
acordados.
Si hackean la tienda online no tienen acceso a nada, la tienda online solo
tiene un token que solo sirve para acceder a PayPal desde los servidores
de la tienda online y solo a una información limitada, ni al usuario, ni a la
password, ni la tarjeta de crédito cosa que solo tiene PayPal.
Versiones de
OAUTH
 Oauth 1.0 RFC 5849 en abril de 2010.
 Oauth 2.0 RFC 6749 y RFC 6750 en octubre de 2012, todavía hoy se
siguen desarrollando nuevas funcionalidades.
Quien usa
OUATH
Ventajas y
Desventajas
VENTAJAS
 Si a aplicación es hackeada, los usuarios y contraseñas del usuario
quedan a salvo en otro servidor de autenticación, ejemploTwitter.
 Cada par de tokens es único. Cada sitio web o aplicación tiene un
par distinto para cada usuario, así que si alguien consiguiese todos
lo pares, no le servirán de nada porque solo sirven para acceder al
sitio(Facebook/Twitter) desde un único sitio
DESVENTAJAS
 Algunas aplicaciones a las que accedes usando Facebook oTwitter
postean en tu perfil.
Tiempos de
Caducidad de
un Token
El tiempo de caducidad de un token lo determina el proveedor de
servicios ya que ellos determinan cuanto tiempo la información
estará disponible para su consulta.
Por ejemplo un access_token de la API de Google viene con un
valor de expires_in que indica la vida útil restante del token de
acceso, en este caso el token tiene un tiempo de vida de 1 hora a
partir de que la respuesta fue generada.
expires_in: la cantidad de segundos que faltan para que el token
deje de ser válido.
¿Por queToken
deAcceso a
corto plazo?
La idea general es permitir que los proveedores emitan tokens de
acceso a corto plazo con tokens de actualización a largo plazo. ¿Por
qué?
 Muchos proveedores admiten tokens de portador que son muy
débiles en cuanto a seguridad. Al hacer que sean efímeros y que
requieran actualización, limitan el tiempo que un atacante puede
abusar de un token robado.
 La implementación a gran escala no quiere realizar una búsqueda de
base de datos en cada llamada API, por lo que en su lugar, emiten
token de acceso autocodificado que se pueden verificar mediante
descifrado. Sin embargo, esto también significa que no hay forma de
revocar estos tokens, por lo que se emiten durante un breve período
de tiempo y deben actualizarse.
 El token de actualización requiere autenticación del cliente que lo
hace más fuerte. A diferencia de los tokens de acceso anteriores, por
lo general se implementa con una búsqueda en la base de datos.
Es esencialmente una medida de seguridad. Si su aplicación está
comprometida, el atacante solo tendrá acceso al token de acceso de
corta duración y no podrá generar uno nuevo.
Los tokens de actualización también caducan pero se supone que deben
vivir mucho más tiempo que el token de acceso.
Ejemplo
Practico

Más contenido relacionado

PDF
Introduction to OpenID Connect
PDF
OAuth 2.0 and OpenID Connect
PPTX
mobile application security
PPTX
Brisbane MuleSoft Meetup 2023-03-22 - Anypoint Code Builder and Splunk Loggin...
PPTX
Intro to OAuth2 and OpenID Connect
PPT
OAuth 2.0 and OpenId Connect
PDF
API Security Best Practices & Guidelines
PDF
OWASP API Security Top 10 Examples
Introduction to OpenID Connect
OAuth 2.0 and OpenID Connect
mobile application security
Brisbane MuleSoft Meetup 2023-03-22 - Anypoint Code Builder and Splunk Loggin...
Intro to OAuth2 and OpenID Connect
OAuth 2.0 and OpenId Connect
API Security Best Practices & Guidelines
OWASP API Security Top 10 Examples

La actualidad más candente (20)

PDF
OpenID Connect Explained
PPTX
OpenID Connect: An Overview
PDF
Building an API Security Strategy
PDF
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021
PPTX
Penetration testing reporting and methodology
PPT
Ssl https
PPTX
Domain 6 - Security Assessment and Testing
PPTX
Introducing Anypoint Exchange 2.0
PPTX
An Introduction to OAuth2
PPTX
Metasploit framework in Network Security
PPT
ODP
OAuth2 - Introduction
PPTX
iOS-Application-Security-iAmPr3m
PDF
OAuth & OpenID Connect Deep Dive
PDF
OAuth 2.0
PPTX
Rest API Security - A quick understanding of Rest API Security
PPT
Introduction To OWASP
PPTX
Forensically Sound Incident Response in Office 365 - SANS DFIR Summit 2018
PPTX
Zero trust Architecture
PDF
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
OpenID Connect Explained
OpenID Connect: An Overview
Building an API Security Strategy
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021
Penetration testing reporting and methodology
Ssl https
Domain 6 - Security Assessment and Testing
Introducing Anypoint Exchange 2.0
An Introduction to OAuth2
Metasploit framework in Network Security
OAuth2 - Introduction
iOS-Application-Security-iAmPr3m
OAuth & OpenID Connect Deep Dive
OAuth 2.0
Rest API Security - A quick understanding of Rest API Security
Introduction To OWASP
Forensically Sound Incident Response in Office 365 - SANS DFIR Summit 2018
Zero trust Architecture
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Publicidad

Similar a Presentacion-Oauth (20)

PPTX
GFI - Seguridad en tus APIs
PDF
Entendiendo o auth
PPTX
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
PDF
Oauth v2-rev
PPTX
Oauth (Open Authorization)
PDF
Meetup En mi local funciona - Protegiendo tu API REST con JWT en aplicaciones...
PPTX
Meetup TCMS OAuth2
PDF
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
PPTX
Presentación sso con cas
PPTX
OAuth and OpenID
PPTX
APEX Office Hours - Two Factor Authentication
PPTX
Sitios blindados de SharePoint
PPTX
Seguridad en las apis desde un punto de vista de developer
PDF
tutorial guide using the api - 2015 espana seminario tecnico
PPTX
Autenticacion, autorización y contabilidad..pptx
PPT
Open ID
PDF
Introducción al Protocolo OAuth 2.0
PPTX
Autenticar y securizar API en .NET Core como un Avenger
PPTX
Implement Identity Server with .NET
GFI - Seguridad en tus APIs
Entendiendo o auth
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Oauth v2-rev
Oauth (Open Authorization)
Meetup En mi local funciona - Protegiendo tu API REST con JWT en aplicaciones...
Meetup TCMS OAuth2
Seguridad para aplicaciones web java con json web tokens (jwt) 2020
Presentación sso con cas
OAuth and OpenID
APEX Office Hours - Two Factor Authentication
Sitios blindados de SharePoint
Seguridad en las apis desde un punto de vista de developer
tutorial guide using the api - 2015 espana seminario tecnico
Autenticacion, autorización y contabilidad..pptx
Open ID
Introducción al Protocolo OAuth 2.0
Autenticar y securizar API en .NET Core como un Avenger
Implement Identity Server with .NET
Publicidad

Último (11)

PDF
Herramientaa de google google keep, maps.pdf
PPTX
tema-2-interes-.pptx44444444444444444444
PDF
[Ebook gratuito] Introducción a la IA Generativa, Instalación y Configuración...
PPTX
Presentación de un estudio de empresa pp
PDF
Frases de Fidel Castro. Compilación Norelys Morales Aguilera
PPT
laser seguridad a la salud humana de piel y vision en laser clase 4
PPTX
Guia de power bi de cero a avanzado detallado
PDF
Mesopotamia y Egipto.pptx.pdf historia universal
PDF
CAPACITACIÓN MIPIG - MODELO INTEGRADO DE PLANEACIÓN Y GESTIÓN
PPTX
FUNCIONES DE CLASSROOM EN EL FUNCIONAMIENTO ESCOLAR
PPTX
presentacion_energias_renovables_renovable_.pptx
Herramientaa de google google keep, maps.pdf
tema-2-interes-.pptx44444444444444444444
[Ebook gratuito] Introducción a la IA Generativa, Instalación y Configuración...
Presentación de un estudio de empresa pp
Frases de Fidel Castro. Compilación Norelys Morales Aguilera
laser seguridad a la salud humana de piel y vision en laser clase 4
Guia de power bi de cero a avanzado detallado
Mesopotamia y Egipto.pptx.pdf historia universal
CAPACITACIÓN MIPIG - MODELO INTEGRADO DE PLANEACIÓN Y GESTIÓN
FUNCIONES DE CLASSROOM EN EL FUNCIONAMIENTO ESCOLAR
presentacion_energias_renovables_renovable_.pptx

Presentacion-Oauth

  • 2. Integrantes  Karina Barrios  Kevin Medina  Degly García  Gabriela Zimeri  Cristóbal Carrera  Aury González  Andrés Herrera  Pablo Hernandez
  • 3. ¿Qué es OAUTH?  OAuth es un framework o protocolo de autorización estándar abierto que describe cómo los servidores y servicios no relacionados pueden permitir acceso autenticado a sus activos de forma segura sin compartir realmente la credencial de inicio de sesión.
  • 4. ¿Cuando fue creado?  Propuesto por BlaineCook y Cris Messina, 3 de octubre de 2007.  Creado y fuertemente apoyado desde el principio por Twitter, Google y otras compañías, OAuth fue lanzado (Oauth 1.0) como un estándar abierto en 2010 como RFC 5849, y rápidamente se hizo ampliamente adoptado. Durante los dos años siguientes, se sometió a revisión sustancial, y la versión 2.0 de OAuth, fue lanzado en 2012 como RFC 6749.
  • 5. ¿Para que Sirve?  Permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.
  • 6. Como Funciona  Diseñado para trabajar con el Protocolo de transferencia de hipertexto (HTTP).  OAUTH utiliza tokens de acceso que se emitirán a clientes de tercero por medio de un servidor de autenticación, con aprobación del propietario del recurso o el usuario final. El cliente utiliza el token de acceso para acceder a los recursos protegidos alojados en el servidor de recursos.  Es comúnmente usado por usuarios de internet para iniciar sesión en sitios web de terceros usando cuentas de Google, Facebook o Twitter, sin preocuparse que sus credenciales de acceso sean comprometidos.
  • 8. Como Funciona Ejemplo con una tienda online usando PayPal. 1. El usuario accede a la tienda online y esta le pide que se loguee con PayPal y el usuario le dice que si. 2. La tienda online le pide a PayPal los datos los datos del usuario . 3. PayPal, no la tienda online, pide al usuario su nombre de usuario y contraseña. 4. El usuario los pone y configura a que datos y que permisos tendrá la tienda online. Posteriormente PayPal y tienda online se intercambian los datos acordados. Si hackean la tienda online no tienen acceso a nada, la tienda online solo tiene un token que solo sirve para acceder a PayPal desde los servidores de la tienda online y solo a una información limitada, ni al usuario, ni a la password, ni la tarjeta de crédito cosa que solo tiene PayPal.
  • 9. Versiones de OAUTH  Oauth 1.0 RFC 5849 en abril de 2010.  Oauth 2.0 RFC 6749 y RFC 6750 en octubre de 2012, todavía hoy se siguen desarrollando nuevas funcionalidades.
  • 11. Ventajas y Desventajas VENTAJAS  Si a aplicación es hackeada, los usuarios y contraseñas del usuario quedan a salvo en otro servidor de autenticación, ejemploTwitter.  Cada par de tokens es único. Cada sitio web o aplicación tiene un par distinto para cada usuario, así que si alguien consiguiese todos lo pares, no le servirán de nada porque solo sirven para acceder al sitio(Facebook/Twitter) desde un único sitio DESVENTAJAS  Algunas aplicaciones a las que accedes usando Facebook oTwitter postean en tu perfil.
  • 12. Tiempos de Caducidad de un Token El tiempo de caducidad de un token lo determina el proveedor de servicios ya que ellos determinan cuanto tiempo la información estará disponible para su consulta. Por ejemplo un access_token de la API de Google viene con un valor de expires_in que indica la vida útil restante del token de acceso, en este caso el token tiene un tiempo de vida de 1 hora a partir de que la respuesta fue generada. expires_in: la cantidad de segundos que faltan para que el token deje de ser válido.
  • 13. ¿Por queToken deAcceso a corto plazo? La idea general es permitir que los proveedores emitan tokens de acceso a corto plazo con tokens de actualización a largo plazo. ¿Por qué?  Muchos proveedores admiten tokens de portador que son muy débiles en cuanto a seguridad. Al hacer que sean efímeros y que requieran actualización, limitan el tiempo que un atacante puede abusar de un token robado.  La implementación a gran escala no quiere realizar una búsqueda de base de datos en cada llamada API, por lo que en su lugar, emiten token de acceso autocodificado que se pueden verificar mediante descifrado. Sin embargo, esto también significa que no hay forma de revocar estos tokens, por lo que se emiten durante un breve período de tiempo y deben actualizarse.  El token de actualización requiere autenticación del cliente que lo hace más fuerte. A diferencia de los tokens de acceso anteriores, por lo general se implementa con una búsqueda en la base de datos. Es esencialmente una medida de seguridad. Si su aplicación está comprometida, el atacante solo tendrá acceso al token de acceso de corta duración y no podrá generar uno nuevo. Los tokens de actualización también caducan pero se supone que deben vivir mucho más tiempo que el token de acceso.