Capítulo 7. Autenticación y autorización de la API

En el capítulo anterior aprendiste a crear modelos de amenazas para sistemas basados en API y sobre el Top 10 de seguridad de API de OWASP. La API de asistentes está lista para recibir tráfico del mundo exterior; sin embargo, ¿cómo se identifica exactamente al consumidor de la API? En este capítulo vamos a explorar la autenticación y la autorización para API. La autenticación nos dice quién es el receptor de la llamada y la autorización nos dice qué se le permite hacer.

Comenzaremos destacando qué es la autenticación y la autorización para las API. Esto nos lleva a la importancia de asegurar las API y a las limitaciones potenciales con el uso de claves y tokens de API. OAuth2 es un marco de autorización basado en tokens que se introdujo en 2012 y se ha convertido rápidamente en el estándar de la industria para asegurar las API y determinar qué acciones puede realizar una aplicación contra una API. Una gran parte de este capítulo se centrará en OAuth2 y en la gama de enfoques de seguridad que ofrece tanto para los usuarios finales como para las interacciones basadas en sistemas. Los consumidores de API a veces necesitarán conocer detalles del usuario en cuyo nombre actúan, para mostrar cómo puede lograrse, presentaremos OIDC.

El capítulo ilustrará los diferentes enfoques de la seguridad, examinando la preparación ...