API Keys vs OAuth Tokens vs JWT

Para que una API sea una poderosa extensión de un producto, en la mayoría de los casos se necesita algún
sistema de autentificación. Con una API que pueda leer, escribir y borrar datos de los usuarios podemos
incrementar el impacto que tiene una aplicación en dichos usuarios.

En este artículo compararemos tres tipos de autentificación populares: API keys, OAuth Tokens y JWT (JSON Web
Tokens).

API Keys

Las de toda la vida. Seguramente siga siendo el identificador más común, y es la primera opción que suele
considerar. Su punto fuerte es su simplicidad. Simplemente nos logeamos al servicio, obtenemos la key, y
la podemos copiar en el navegador, Swagger, Postman, etc.

Sin embargo, su simplicidad suele venir acompañada por su escasa seguridad. Muchas veces nos
encontramos que la key se está enviando al servidor como un string en la query de la url, en el body de la
request, etc, malas prácticas que facilitan el acceso no autorizado a terceros. También vale la pena
comentar que están enfocada a desarrolladores, por lo que resulta confuso para la mayoría de usuarios
acceder a éstas sin dar un montón de vueltas.

OAuth Tokens

OAuth es la respuesta si nuestra API se centra en acceder a información de los usuarios. Al contrario que
con las API keys, OAuth no requiere que el usuario realice muchos pasos. La mayoría del tiempo con
simplemente darle a a un botón de dar permisos a la aplicación es suficiente. Las implementaciones más
comunes utilizan un access token y/o un refresh token, que permite configurar el tiempo que el token será
valido.

Como las API keys, cualquiera que tenga el access token podría potencialmente realizar acciones
peligrosas. Sin embargo, OAuth implementa diferentes mejoras con respecto a las API keys. En primer
lugar, los access token pueden estar limitados a sólo una pequeña parte de todas las operaciones
disponibles que la aplicación ofrece. Además, combinados con el refresh token, podemos garantizar que
el token en cuestión sólo será válido durante un tiempo. No obstante, incluso si no usamos refresh token,
se puede igualmente cambiar la validez de un access token.

JSON Web Tokens (JWT)

Mientras que las API keys y los OAuth tokens siempre se usan para acceder a APIs, los JWT se pueden
usar en muchos escenarios distintos. Además, con estos últimos se necesitan muchos menos accesos a
bases de datos sin reducir la seguridad.

La clave que permite evitar accesos a BD con los JWT es que éstos contienen la información que tenemos
que determinar codificada en base64. También tienen la firma que los valida. De esta manera usando el
mismo secreto que se utilizó para generar el token, podemos generar nuestra versión de la firma y
comprobar si son iguales. Esta manera es mucho más eficiente que acceder a la base de datos y
comprobar quién es quién dice ser y si tiene permisos para realizar la acción.

El inconveniente de los JWT es que por defecto no se puede denegar o cambiar la validez de un token una
vez se ha creado. Por esta razón es importante combinar JWT con un refresh token. En cada llamada a la
API solo tendríamos que mirar si la firma es válida y la fecha de caducidad del token sigue siendo en el futuro.

Autor: David Agut

Etiquetas:

Cookie	Tipo	Duración	Descripción
cookielawinfo-checkbox-necessary	0	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	0	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
csrftoken	0	11 meses	Esta cookie está asociada con la plataforma de desarrollo web Django para Python. Se utiliza para ayudar a proteger el sitio web contra ataques de falsificación de solicitudes entre sitios.
JSESSIONID	1		Utilizado por sitios escritos en JSP. Cookies de sesión de plataforma de propósito general que se utilizan para mantener el estado de los usuarios en las solicitudes de página.
PHPSESSID	0		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar la identificación de sesión única de un usuario con el fin de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.
viewed_cookie_policy	0	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
_fbp	0	3 meses	Facebook configura esta cookie para enviar publicidad cuando están en Facebook o en una plataforma digital impulsada por publicidad de Facebook después de visitar este sitio web.
ATN	1	2 años	La cookie es establecida por atdmt.com. Las cookies almacenan datos sobre el comportamiento del usuario en varios sitios web. Luego, los datos se utilizan para ofrecer anuncios relevantes a los usuarios en el sitio web.
dpm	0	5 meses	La cookie es establecida por demdex.net. Esta cookie asigna una identificación única a cada usuario visitante que permite a los anunciantes externos dirigirse a esos usuarios con anuncios relevantes.
everest_g_v2	0	2 años	La cookie se establece en el dominio eversttech.net. El propósito de la cookie es asignar clics a otros eventos en el sitio web del cliente.
everest_session_v2	0		Esta cookie se utiliza para mostrar anuncios personalizados y relevantes a los usuarios y medir la eficiencia de la campaña publicitaria.
fr	1	3 meses	Facebook configura la cookie para mostrar anuncios relevantes a los usuarios y medir y mejorar los anuncios. La cookie también rastrea el comportamiento del usuario en la web en sitios que tienen píxeles de Facebook o complementos sociales de Facebook.
IDE	1	2 años	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario utiliza el sitio web y cualquier otro anuncio antes de visitar el sitio web. Se utiliza para presentar a los usuarios anuncios que son relevantes para ellos de acuerdo con el perfil del usuario.
MUID	0	1 año	Usado por Microsoft como identificador único. La cookie se establece mediante scripts integrados de Microsoft. El propósito de esta cookie es sincronizar la identificación en muchos dominios de Microsoft diferentes para permitir el seguimiento de usuarios.
NID	1	6 meses	Esta cookie se utiliza para crear un perfil en función del interés del usuario y mostrar anuncios personalizados a los usuarios.
uid	0	1 año	Esta cookie se utiliza para medir el número y el comportamiento de los visitantes del sitio web de forma anónima. Los datos incluyen el número de visitas, la duración media de la visita en el sitio web, las páginas visitadas, etc. con el fin de comprender mejor las preferencias del usuario para los anuncios dirigidos.
VISITOR_INFO1_LIVE	1	5 meses	Youtube establece esta cookie. Se utiliza para rastrear la información de los videos de YouTube incrustados en un sitio web.

Cookie	Duración	Descripción
bcookie	2 años	Esta cookie es establecida por linkedIn. El propósito de la cookie es habilitar las funcionalidades de LinkedIn en la página.
lidc	1 día	LinkedIn establece esta cookie y la utiliza para el enrutamiento.
s_cc		Adobe Analytics establece esta cookie. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.

Cookie	Tipo	Duración	Descripción
_gat_UA-2156578-3	0	1 minuto	Esta es una cookie de tipo patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.
lang	0		Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para ofrecer contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.

Cookie	Tipo	Duración	Descripción
__putma	0	19 years
_dc_gtm_UA-7007193-1	0	1 minute
_dc_gtm_UA-7007193-5	0	1 minute
_gcl_au	0	3 months
_pin_unauth	0	1 year
_ptref	0	1 day
_sotmpid	0	2 years
_sotmsid	0	30 minutes
_uetsid	0	1 day
_uetvid	0	2 weeks
_uv_id	0	2 years
AMCV_0D3C2C1653DB264C0A490D4B%40AdobeOrg	0	2 years
AMCVS_0D3C2C1653DB264C0A490D4B%40AdobeOrg	0
bscookie	1	2 years
c72887300d	0
glassbox-session-id	0	30 minutes
kng_aflow	0	1 year
language	0
li_sugr	0	2 meses	Utilizada por LinkedIn para rastrear el uso de servicios embebidos. El objetivo principal de esta cookie es: Targeting/Publicidad.
lissc	0	1 año	Se utiliza para garantizar que el atributo SameSite es correcto para todas las cookies en dicho navegador
S	1	1 hour
sc_anonymous_id	0	9 years
test_cookie	0	11 months
u	0	3 months
UIDR	0	1 año	Esta cookie se establece en scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios en Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y que los datos se envíen a terceros para su análisis y generación de informes para ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
UserMatchHistory	0	4 weeks
vuid	0	2 years
YTC	0	10 minutes
ZCAMPAIGN_CSRF_TOKEN	0

API Keys vs OAuth Tokens vs JWT

API Keys

OAuth Tokens

JSON Web Tokens (JWT)

Etiquetas:

Publicación anteriorCiberseguridad en tiempos de teletrabajo

Siguiente postPulgómetro, el primer producto del SlashCrazyLab

Autor Slashmobility

API Keys vs OAuth Tokens vs JWT

API Keys

OAuth Tokens

JSON Web Tokens (JWT)

Etiquetas:

Publicación anteriorCiberseguridad en tiempos de teletrabajo

Siguiente postPulgómetro, el primer producto del SlashCrazyLab

Artículos Relacionados

El Slashteam confiesa: así usa ChatGPT

Cómo nos cambiará la vida ChatGPT

¿Qué es y cuándo usar Power Apps?

Autor Slashmobility