← Volver a la Base de conocimientos← Pregunta anteriorSiguiente pregunta →
Arquitectura (IT)Arquitecto Backend

¿Cómo implementar una capa de autorización y autenticación en una arquitectura de TI distribuida?

Supere entrevistas con el asistente de IA Hintsage

Respuesta.

Para implementar una capa de autorización y autenticación en una arquitectura distribuida, generalmente se utilizan sistemas de gestión de identidades centralizados, como OAuth 2.0, OpenID Connect o proveedores de identidad corporativos (IdP). La autenticación (establecimiento de identidad) se realiza a través de un proveedor externo, después de lo cual el resultado (generalmente un token) se utiliza para la autorización (otorgamiento de permisos) en todos los servicios.

Generalmente, el esquema funciona así:

  1. El usuario se autentica a través del IdP.
  2. Recibe un access-token (por ejemplo, JWT).
  3. Al acceder a cada servicio, el usuario presenta el token en el encabezado de la solicitud.
  4. El servicio valida el token y extrae los derechos de acceso de los claims.

Ejemplo de código para verificar un token JWT en Python usando la biblioteca PyJWT:

import jwt
from jwt.exceptions import InvalidTokenError

def verify_jwt(token, public_key):
    try:
        payload = jwt.decode(token, public_key, algorithms=["RS256"])
        return payload
    except InvalidTokenError:
        return None

# ejemplo de uso
user_info = verify_jwt(received_token, public_key)
if user_info:
    # acceso permitido
    pass
else:
    # acceso denegado
    pass

Características clave:

  • El control de acceso centralizado se codifica desde una única fuente de verdad (IdP, por ejemplo, Keycloak o Auth0)
  • La seguridad se logra a través de tokenización y validación de firmas (por ejemplo, JWT)
  • Soporte para SSO y autenticación multifactor

Preguntas trampa.

Pregunta: ¿Es obligatorio almacenar toda la información sobre los permisos del usuario directamente dentro del token JWT?

No es obligatorio. Para minimizar el tamaño del token, generalmente solo se incluye el id del usuario y un conjunto mínimo de derechos/roles. Los permisos detallados se pueden obtener a demanda en el servidor a través de solicitudes adicionales o claims de perfil cargados.

Pregunta: ¿Son los refresh tokens un elemento obligatorio en todas las arquitecturas distribuidas?

No, los refresh tokens son necesarios solo si se necesita una sesión prolongada sin reautenticación. En API sin estado, a menudo solo se utilizan access tokens de corta duración, y la lógica de refresh se implementa solo para clientes web o móviles.

Pregunta: ¿Puede la sección de payload en JWT estar encriptada?

Según el estándar JWT (RFC 7519), el payload solo se firma, pero no se cifra. Para cifrado se utiliza otro estándar: JWE (JSON Web Encryption). De lo contrario, cualquier persona que tenga el token puede leer el payload (por ejemplo, a través de jwt.io):

import jwt
jwt.decode(token, options={"verify_signature": False})