Ventajas, desventajas y casos de uso de los métodos de autenticación más populares en la actualidad.
Cuando empecé a crear aplicaciones web, «autenticación» solo significaba iniciar sesión. Sencillo, ¿verdad?
Pero entonces surgieron las preguntas: ¿Qué es un token? ¿Debo usar cookies o claves API? ¿Por qué hay tantas opciones solo para verificar a un usuario?
Resulta que cada método tiene un propósito. Algunos están obsoletos, otros son seguros y otros son ideales para casos de uso específicos.
En este blog, analizaré seis métodos de autenticación comunes (autenticación básica, cookies, tokens, claves API, OTP y SSO) y explicaré cuándo (y por qué) usar cada uno.
Empecemos.
Autenticación básica
La autenticación básica funciona enviando el nombre de usuario y la contraseña codificados al servidor con cada solicitud. Estas credenciales se incluyen en los encabezados de la solicitud.
El nombre de usuario y la contraseña se combinan en una sola cadena y se codifican utilizando Base64. A continuación, esta cadena codificada se envía en el encabezado Authorization de la solicitud HTTP.
La autenticación básica es uno de los mecanismos de autenticación más antiguos, que se remonta a la década de 1990.
Aunque la autenticación básica es sencilla y eficaz, no es muy segura, ya que las credenciales solo están codificadas en Base64, lo que las hace fácilmente reversibles. Esto la hace vulnerable a los ataques de tipo «man-in-the-middle», especialmente cuando se utiliza a través de un protocolo inseguro como HTTP.
Tampoco existe una forma fácil de cerrar la sesión de un usuario a través del servidor.
Incluso con un protocolo seguro subyacente, la autenticación básica puede sufrir ataques CSRF. Por estas razones, la mayoría de las aplicaciones web modernas la han abandonado en busca de mecanismos de autenticación más seguros.
Autenticación basada en cookies
La autenticación basada en cookies funciona generando un ID de sesión cuando el usuario inicia sesión, que luego se almacena como una cookie en el navegador del usuario. Para las solicitudes posteriores, el navegador incluye automáticamente esta cookie, lo que permite al servidor verificar la identidad del usuario.
Al ID de sesión generado se le asigna un tiempo de caducidad para garantizar que una sola cookie no pueda utilizarse indefinidamente.
La autenticación basada en cookies mejora la autenticación básica al permitir que el servidor gestione las sesiones de los usuarios. Esto habilita funciones como el cierre de sesión del lado del servidor, donde se puede cerrar la sesión de un usuario de forma forzada invalidando su sesión en el servidor.
Los navegadores modernos ofrecen varios mecanismos para ayudar a proteger las cookies de amenazas de seguridad como Cross-Site Scripting (XSS) y Cross-Site Request Forgery (CSRF). Funciones como los indicadores de cookies HttpOnly, Securey SameSite ayudan a reducir estas vulnerabilidades.
Sin embargo, la autenticación basada en cookies no está exenta de inconvenientes. Los datos de la sesión deben almacenarse en el servidor, lo que consume recursos y puede no ser fácilmente escalable. Además, las cookies están diseñadas principalmente para navegadores web y no son adecuadas para otros tipos de clientes, como aplicaciones móviles o API.
Autenticación basada en tokens
En este método de autenticación, el servidor responde a la solicitud de inicio de sesión de un usuario emitiendo un token. El token es autónomo, lo que significa que contiene toda la información necesaria para la verificación, y está diseñado para ser a prueba de manipulaciones.
En la autenticación basada en tokens, el servidor no necesita almacenar ningún dato de sesión, solo una clave pública (si se utilizan tokens firmados como JWT) para verificar el token proporcionado por el cliente. Esto contrasta con la autenticación basada en sesiones, en la que el servidor debe mantener el estado de la sesión.
Una vez que el cliente obtiene un token, puede incluirlo en los encabezados de la solicitud para realizar solicitudes autenticadas. Esto hace que la autenticación basada en tokens sea sin estado y muy adecuada para sistemas distribuidos y escalables.
Las aplicaciones que utilizan la autenticación basada en tokens son más fáciles de escalar y pueden admitir una amplia variedad de clientes.
La autenticación basada en tokens más popular es Json Web Tokens (o JWT).
También hay algunas desventajas. Si los tokens no se almacenan de forma segura en el lado del cliente, pueden ser robados y utilizados para suplantar al usuario. Además, los tokens, especialmente los que contienen datos de carga útil como los JWT, suelen ser de mayor tamaño en comparación con otros mecanismos de autenticación, lo que conlleva un uso ligeramente mayor del ancho de banda.
Autenticación basada en claves API
La autenticación basada en claves API es un método para autenticar a los usuarios o aplicaciones que acceden a una API (interfaz de programación de aplicaciones).
Una clave API es un identificador único (normalmente una cadena alfanumérica larga) que se emite a un desarrollador o aplicación para acceder a una API. Actúa como un simple token de acceso, identificando el proyecto o la aplicación que realiza la llamada.
Las claves API se emiten cuando los desarrolladores se registran con un proveedor de API y solicitan acceso. Estas claves suelen estar asociadas a proyectos específicos y pueden configurarse con diferentes niveles de control de acceso. Los proveedores de API las utilizan para supervisar el uso y aplicar límites de velocidad, a menudo con fines de facturación, análisis o seguridad.
Hay varias formas diferentes en las que un cliente puede enviar una clave API al servidor:
- Encabezado HTTP —
Authorization: Api-Key <tu_clave_api>ox-api-key: <tu_clave_api> - Parámetro de consulta —
https://api.example.com/data?api_key=<tu_clave_api> - Cuerpo de la solicitud (para solicitudes POST):
{ «api_key»: «<su_clave_api>» }
Autenticación basada en OTP
Otro método de autenticación muy utilizado en las aplicaciones de software modernas es la autenticación basada en OTP (contraseña de un solo uso). A diferencia de las contraseñas fijas tradicionales, la autenticación OTP se basa en un código único y sensible al tiempo que solo es válido para una sesión de inicio de sesión o transacción.
Cuando un usuario intenta iniciar sesión, el servidor genera una contraseña de un solo uso con un breve periodo de validez (normalmente entre 30 segundos y unos minutos). Esta OTP se envía al usuario a través de un canal fiable y previamente verificado, como un número de móvil registrado (mediante SMS) o una dirección de correo electrónico. El usuario debe introducir la OTP correcta para completar el proceso de inicio de sesión.
Este método añade una capa adicional de seguridad al:
- Reducir el riesgo de reutilización de contraseñas y ataques de phishing.
- Garantizar que solo el usuario legítimo (con acceso al dispositivo/correo electrónico de confianza) pueda iniciar sesión.
Una vez verificada la OTP y autenticado correctamente el usuario, el sistema suele emitir un token de sesión o cookie para mantener el estado autenticado del usuario durante toda la sesión. Este token se utiliza para las solicitudes posteriores, lo que evita tener que volver a introducir las credenciales repetidamente.
🔐 La autenticación OTP se utiliza a menudo como una forma de autenticación de dos factores (2FA) cuando se combina con una contraseña tradicional, lo que refuerza aún más la seguridad de la cuenta.
Inicio de sesión único (SSO)
El inicio de sesión único (SSO) es una forma de permitir a los usuarios iniciar sesión una sola vez y luego acceder a múltiples aplicaciones o sistemas sin tener que volver a iniciar sesión cada vez. Después de que el usuario inicia sesión a través del proveedor de SSO, se crea un token y se pasa a otros servicios de confianza, de modo que el usuario puede moverse entre ellos sin problemas y sin que se le pida que vuelva a introducir sus credenciales.
Así es como funciona
- El usuario visita el sitio web e intenta iniciar sesión.
- El sitio web comprueba si el usuario ya ha iniciado sesión mediante la presencia de algunos tokens o cookies. Si es así, se procesa la solicitud.
- Si no es así, se redirige al usuario a la página de inicio de sesión de SSO.
- El usuario inicia sesión a través del sistema SSO.
- El SSO verifica las credenciales con el proveedor de identidad (por ejemplo, Active Directory).
- Una vez verificadas, el SSO envía la información de autenticación al sitio web.
- El sitio web concede el acceso y utiliza tokens/cookies para mantener la autenticación en otras aplicaciones o páginas.
¡Con esto llegamos al final de este blog! Si te ha gustado leerlo, aquí tienes otros blogs míos que te gustarán.
Gracias por leer Código en Casa.
