¿Cuál es la mejor estrategia de autenticación de usuario para una aplicación isomórfica React / Redux?

Por lo general, juego 20 preguntas (generalmente terminaré con una lista más larga de preguntas y viceversa) cuando trabajo con el equipo de desarrollo para elaborar una estrategia / arquitectura de seguridad correcta. Así que juguemos 20 preguntas.

a) ¿Desea autenticar usuarios en su aplicación?

b) ¿Desea autorizar lo que un usuario puede o no puede hacer en su aplicación? incluidos, entre otros, el acceso a páginas web, datos que el usuario puede o no puede ver, etc.

c) ¿De dónde obtiene los datos? ¿Desde su propia aplicación o desde un servicio de terceros diferente? (podría ser su servicio alojado por otra aplicación u otro dominio)

d) ¿Cuáles son los mecanismos de seguridad para dichos Servicios? (Suponiendo REST)

e) ¿Los datos devueltos por dichos servicios son globales, es decir, para que cualquiera los vea o solo solicite al usuario? Un buen ejemplo sería que la API de Twitter para obtener tweets podría ser pública, lo que puede devolver todos los Tweets públicos, pero la API para obtener solo sus tweets debería funcionar dentro del contexto de su identidad.

Ahora tienes idea. La seguridad de su aplicación tiene algún tipo de relación directa con los servicios en los que se basa su aplicación. Ya sea 1: 1 (datos específicos de usuario final a usuario final servidos a través de REST API) o Muchos: 1 (Muchos usuarios finales pero una aplicación confiable puede obtener todos los datos y enviarlos a su aplicación)

Con esto en mente, debe hacer la siguiente pregunta. ¿Quién proporciona la capa de autorización a su API REST? Recuerde que cuando usa OAuth / OPennID con proveedores de autenticación social como Facebook / Twitter, etc., su aplicación solo obtiene un comportamiento de tipo de inicio de sesión único, y aún debe crear su propio token interno que pueda mantener la sesión / identidad / contexto de usuario autenticado. ¿Cómo se une la capa OAuth del proveedor de Identidad Social con su aplicación?

La siguiente pregunta es, cuando tiene que invocar servicios externos de terceros, es para el usuario final o para su aplicación. La verdadera pregunta es si necesita propagación de identidad o no.

Estas preguntas lo ayudarán a comprender si una solución de OAuth en particular es lo suficientemente buena para usted o no. Nota para aquellos que son nuevos en OAuth, no se trata de autenticación, todo se trata de Autorización.

Related Content

¿Cómo puedo saber si las descargas de mi aplicación a través de mi cuenta de desarrollador de Opera fueron realmente descargadas por personas reales?

¿Qué debería estar rastreando en una aplicación móvil que le permite seleccionar fotos y crear una presentación de diapositivas de video?

¿Qué habilidades necesitas para crear una aplicación exitosa?

¿Cuál es la mejor aplicación para descargar música de youtube?

¿Qué lenguaje de programación es bueno para desarrollar aplicaciones como WhatsApp y Snapchat desde cero como principiante?

La estrategia de autenticación de usuario que elija, especialmente si recién está configurando, debería ser simple. Eso no significa que esté lleno de agujeros de bala o cabos sueltos, solo significa simple.

La estrategia simple de Passport es, bien simple y efectiva. Solo asegúrate de que estás utilizando las contraseñas y haciendo todas las transacciones entre el cliente y el servidor a través de SSL / TLS. Si necesita oAuth, hay muchas extensiones para Passport.

Re: Auth0, nunca he usado su servicio, pero según el vistazo rápido a sus documentos, parece que su solución Node no es solo del lado del cliente.

Auth0 Node.js SDK Quickstarts: Iniciar sesión

Incluso utiliza, pasaporte, curiosamente. Aunque realmente no creo que sea demasiado difícil configurar Passport de forma independiente para que no pague por un servicio adicional.

Sí, hay cientos de capas adicionales de seguridad para agregar si es necesario. Sí, debe ir a la capa adicional en su infraestructura y poner en la lista blanca solo ciertas áreas. Etc. Etc. pero en lo que respecta a su aplicación individual: al principio, comience de manera simple (no fácil o insegura) y desarrolle la complejidad que necesite.

Si no comprende su solución de seguridad, ¿es segura?

-J Cole Morrison

Guías tecnicas y pensamientos

Cole Morrison

Usamos JWT para autorizar a los usuarios del tablero. Tablero construido con React y Redux.

  1. Panel de solicitud de solicitud de envío a REST API
  2. API envía un mensaje con enlace (con JWT)
  3. Cuando hago clic en un enlace, mi aplicación verificará y almacenará JWT en sesión

Así es como funciona en Cezerin: solución de comercio electrónico React and Node.js.

Cole Morrison

More Interesting

¿Existe alguna posibilidad de cambiar el propietario del teléfono móvil por motivos de seguridad?

¿Cuál sería la mejor manera de obtener comentarios sobre una aplicación de recopilación de opinión del consumidor en la que estoy trabajando?

¿Cuáles son las herramientas ASO (optimización de App Store) que ha utilizado y se ha beneficiado como desarrollador de aplicaciones?

¿El servidor WeChat graba todas las videollamadas cuando alguien lo usa?

¿Cuáles son algunas de las mejores / Deben tener aplicaciones para iOS o Android con una breve descripción?

¿Cuáles son algunas aplicaciones y juegos de Android muy buenos para el teléfono que tienen menos de 15 MB?

¿Cuál es la mejor aplicación de mensajería que usa que considera que cuida su seguridad?

¿Snapchat es una amenaza para WhatsApp?

¿Por qué Path no despegó como Instagram?

¿Qué 5 aplicaciones principales son las de tu teléfono celular que me recomendarías tener?

¿Cuáles son las empresas que desarrollan la aplicación de entrega a pedido?

¿Qué debo saber sobre el diseño de wireframes para aplicaciones móviles?

¿Cuáles son las diez mejores aplicaciones deben tener?

¿Qué es el raspado de aplicaciones? ¿Es posible raspar información de aplicaciones móviles?

¿Cómo recibir mensajes en tiempo real de WhatsApp en mi teléfono como SMS normal? ¿Se puede hacer esto con Twilio y Python?