ppsirg
commented
10 months ago para poder definir el tema de manejo de usuarios/autenticación y seguridad:
- usar un servicio de un proveedor tipo cognito o usar un módulo propio tipo jwt de algun framework
- auth debe ser un servicio aparte?, hay que considerar que es lo que más ataques va a recibir y de lo que dependen otras partes del proyecto
- tipo de auth (protocolo, encriptacion, configuraciones)
personalmente pienso en lo siguiente:
- usar un proveedor como cognito de aws o firebase admin (o algun competidor de la nube de confianza que se elija) ya que es una solución estandar, robusta y muy segura soportada por el proveedor de la nube del servicio que se use.
- creo que auth debe ser un servicio aparte porque va a tener que lidiar con ddos y segun owasp es ahora el principal punto de ataque en cuanto a vulnerabilidades
- creo que para proveer a front deberiamos usar oauth2/saml2.0, para backend tokens mantenidos en los secrets de las variables de entorno.
por favor pongan sus propuestas y sus argumentos para ir construyendo los requisitos
Objetivo: Establecer un sistema de autenticación robusto para la API, permitiendo la identificación segura de usuarios mediante la generación de JSON Web Tokens (JWT) o la integración con Firebase Admin.
Descripción detallada: Actualmente, la API no cuenta con un mecanismo de autenticación implementado. Esta tarea tiene como finalidad establecer un sistema de autenticación que permita identificar a los usuarios de manera segura y eficiente.