Vista previa

A veces, un sitio web está totalmente abierto, y cualquier visitante puede visitar cualquier página. Pero si se puede modificar el contenido del sitio, algunos puntos finales quedarán restringidos a determinadas personas o grupos. Si cualquiera pudiera modificar las páginas de Amazon, imagina los artículos extraños que aparecerían, y las increíbles ventas que algunas personas conseguirían de repente. Por desgracia, es propio de la naturaleza humana -para algunos humanos- aprovecharse del resto, que paga un impuesto oculto por sus actividades.

¿Debemos dejar nuestro sitio criptográfico abierto para que cualquier usuario acceda a cualquier punto final? ¡No! Casi cualquier servicio web de envergadura necesita en algún momento ocuparse de lo siguiente:

Autenticación (authn)

¿Quién eres tú?

Autorización (authz)

¿Qué quieres?

¿Debería el código de autenticación y autorización (auth) tener su propia capa nueva, digamos entre Web y Servicio? ¿O debería encargarse de todo la propia capa Web o Servicio? Este capítulo se sumerge en las técnicas de auth y dónde colocarlas.

A menudo, las descripciones de la seguridad web parecen más confusas de lo necesario. Los atacantes pueden ser muy, muy escurridizos, y las contramedidas pueden no ser sencillas.