OAuth 2.0 y OIDC permiten inicio de sesión con Google, Microsoft o IdP corporativo. Use HTTPS y cookies seguros. Valide y renueve tokens; maneje logout y revocación.
OAuth 2.0 y OIDC
- OAuth 2.0: Marco de autorización. Su app obtiene access token (y opcionalmente refresh token) del IdP tras la autorización del usuario. Use el token para llamar APIs en nombre del usuario. Use biblioteca probada e IdP conocido.
- OIDC: Capa de identidad sobre OAuth 2.0. Añade ID token (JWT con identidad) y claims estándar. Use OIDC cuando necesite "¿quién es este usuario?" además de "¿puede esta app actuar por él?".
- Flujos: Authorization Code (con PKCE para clientes públicos) es el flujo recomendado para web y móvil. Evite guardar client secrets en el frontend.
HTTPS y cookies
- HTTPS: Todos los endpoints de auth y redirects deben usar HTTPS. Los tokens en redirects no deben filtrarse por HTTP. HSTS.
- Cookies: Para sesión tras login use Secure, HttpOnly, SameSite. ID de sesión fuerte; vida corta y refresh vía refresh token o re-auth.
Manejo de tokens
- Validar: Verifique firma del ID y access token (JWKS del IdP), audience, issuer y expiry. No confíe en tokens sin validación.
- Refresh: Use refresh tokens para obtener nuevos access tokens. Guarde refresh tokens de forma segura (ej. cifrados en servidor).
- Logout: Implemente single logout: limpie su sesión y llame al endpoint de logout del IdP si está soportado. Descarte tokens al salir.
Resumen
OAuth 2.0 y OIDC permiten inicio de sesión con Google, Microsoft o IdP corporativo. Use HTTPS y cookies seguros. Valide y renueve tokens; maneje logout y revocación.
