Integración y Servicios

Web
Mg. Benjamín David Reyna Barreto
Módulo de Aprendizaje
Los estándares metodológicos de Servicios Web (SOAP)

Resultado esperado:
Al finalizar el curso, el estudiante desarrolla servicios Web con persistencia
a datos aplicando protocolos, estándares, normas de seguridad, patrones
de diseño de software y buenas prácticas de programación para tener mejor
acceso a los sistemas y la información de la organización.
Seguridad de
los servicios
Web. Oauth2
y JWT
Temas a tratar:
Semana 3
• Sesión 3
❖ Introducción
❖ Servicios REST.
❖ Mecanismos de Autentificación
❖ OAut2
❖ JWT
❖ Servicios Web seguros
Introducción

• Con el auge de internet y las distintas dinámicas de la sociedad actual, ha

cambiado en gran medida la forma de interactuar entre las personas y las
empresas. Este cambio notable se observa en la forma de intercambiar
información entre los distintos actores. Este intercambio se vuelve de
particular interés siendo blanco de ataque por parte de todos aquellos actores
que quieren obtener información útil y valiosa a sus propios intereses o de
terceros. Es aquí donde cobra particular relevancia implementar todo tipo de
medidas y acciones tendientes a evitar estos ataques, por tal motivo surge lo
que se denomina Seguridad Informática.
Mecanismos de Autentificación

• Existen un conjunto de protocolos que tienen como objetivo

permitir a los usuarios controlar de forma efectiva y segura el
acceso a sus datos e información personal.
• OAuth2
• OpenID Connect
• User-Managed Access
Buenas Practicas de seguridad en el desarrollo
de aplicaciones de pagos con tarjetas.
• Proporcionalidad funcionalidades de contraseña segura.
• Proteger la información de los titulares de la tarjeta.
• Registrar los logs de la aplicación.
• Desarrollar aplicaciones seguras.
• Proteger las transmisiones inalámbricas.
• Pruebe las aplicaciones para encontrar y solucionar vulnerabilidades.
• Facilitar el funcionamiento mediante una red segura.
• No almacenar datos de titulares de tarjetas en el servidor.
• Cifrar el trafico sensible a través de redes publicas.
OAuth2

• OAuth 2.0 es un estándar abierto para la autorización de

APIs, que nos permite compartir información entre sitios
sin tener que compartir la identidad.
• Es un mecanismo utilizado a día de hoy por grandes
compañías como Google, Facebook, Microsoft, Twitter,
GitHub o LinkedIn, entre otras muchas.
OAuth2
OpenID Connect

• OpenID Connect (OIDC) es una infraestructura de autenticación

creada sobre el protocolo OAuth 2.0. Los servidores de Operational
Decision Manager lo utilizan para verificar la identidad de un
usuario con un proveedor de OpenID Connect y para autorizar el
acceso a las aplicaciones y API de Operational Decision Manager.
Los servidores también lo utilizan para obtener información de
perfil básica sobre el usuario.
OpenID Connect
JWT

• JWT (JSON Web Token) es un estándar abierto (publicado en

el RFC 7519) que define un método compacto y
autocontenido para encapsular y compartir aserciones
(claims) sobre una entidad (subject) de manera segura entre
distintas partes mediante el uso de objetos JSON.
Tipos de tokens

• Data token: En su forma serializada un JWT es muy compacto y fácil de transmitir en

peticiones HTTP y se usa para el intercambio de datos.
• ID token: Emitido por un gestor de identidades, a petición de una aplicación cliente,
tras haber autenticado a un usuario. Permite a la aplicación cliente obtener datos del
usuario de manera confiable sin tener que gestionar sus credenciales.
• Access token: Emitido por un servidor de autorización, a petición de una aplicación
cliente, y permite a esta el acceso a un recurso protegido en nombre de un usuario.
Este token se usa como método de autenticación y autorización por parte de la
aplicación cliente frente al servidor que aloja el recurso.
Casos de uso

• Intercambio de datos de sesión entre cliente y servidor: Debido a su mecanismo de

serialización a veces son usados para transmitir información de sesión y estado entre
el servidor y sus clientes. Se suelen usar " tokens inseguros" (sin firma).
• Autenticación federada: Elimina la necesidad de que las aplicaciones gestionen las
credenciales de sus usuarios, delegando en un gestor de identidad de confianza el
proceso de autenticación de los mismos. El gestor genera un token verificable por la
aplicación que contiene los datos necesarios del usuario.
• Autorización de acceso: El token contiene la información necesaria para que un
servicio de APIs pueda evaluar si la operación solicitada por el tenedor del token se
puede permitir.
Recomendaciones para la generación de
Tokens

• Emitir siempre tokens firmados.

• Usar algoritmos criptográficos fuertes.
• Poner fecha de expiración e identificador único.
• No incluir datos sensibles sin cifrar en los claims.
Validación del token

• No aceptar tokens sin firma.

• Validar claims de cabecera.
• Validar siempre emisor y destinatarios.
• Almacenar las claves de firma por emisor y algoritmo.
Servicios Web Seguros

• Cifrado con clave simétrica.

• Cifrado con clave asimétrica.
• Huella digital
• Firma digital
• Certificado digital.
Confidencialidad e integridad
Autentificación en servicio Web

• Puede que necesitemos identificara un usuario para

presentarle un determinado servicio, o bien para saber
si tiene autorización para acceder a dicho servicio.
• Para identificar al usuario podemos simplemente
solicitar un Login y Password. En general, lo que
haremos será proporcionar al servicio un token con el
que se identificará al cliente.