Closed Juanguppy closed 6 months ago
Yo no me liaría implementando OAuth o librerias/APIs similares. Lo que tenia pensado es: Guardar el hash de la contraseña y utilizar eso para hacer login. Luego crear un JWT, devolverlo y que el front lo incluya en las peticiones posteriores para autentificación. Hice algo del estilo para SisInf.
Entiendo que la gracia de lo de encriptar la contraseña es guardar solo el hash en el servidor y que no se almacenen las contraseñas en raw, y hacer mas segura la transmision. Lo logico es encriptar en cliente y mandar el hash al server. Asi no pasan nunca contraseñas en raw por el server y mas importante aun, no se mandan por internet.
Yo no me liaría implementando OAuth o librerias/APIs similares. Lo que tenia pensado es: Guardar el hash de la contraseña y utilizar eso para hacer login. Luego crear un JWT, devolverlo y que el front lo incluya en las peticiones posteriores para autentificación. Hice algo del estilo para SisInf.
sí la verdad q para algo tan sencillo como un login no hace falta liarse que literamente en 30min lo implementamos XD en sisinfo hicimos eso mismo pero con JSPs
Entiendo que la gracia de lo de encriptar la contraseña es guardar solo el hash en el servidor y que no se almacenen las contraseñas en raw, y hacer mas segura la transmision. Lo logico es encriptar en cliente y mandar el hash al server. Asi no pasan nunca contraseñas en raw por el server y mas importante aun, no se mandan por internet.
yo también opino q es mejor encriptarla en cliente y enviarla encriptada al servidor, así se evitan más tipos de ataques.
Implementada la lógica y un token de sesión.
Implementación de la API web del sistema de identificación. Que espere dos parámetros (user & password [encryptada en cliente o en servidor?]) y compruebe contra la BD si las credenciales son correctas. Mirar esta API: https://developers.google.com/identity/openid-connect/openid-connect?hl=es-419 que facilita el uso y quizá renta (aunque hacer un login es trivial pero igual nos aporta beneficios)