Objetivo:
El cliente se pone en contacto con TI360 ya que en su empresa se está realizando el desarrollo de una aplicación web para arquitectos y el equipo encargado del proyecto no tiene claro como implementar la seguridad de las credenciales de acceso.
Solución implantada:
Se realiza un estudio de las tecnologías de autentificación JWT y OAuth2 para conocer su funcionamiento y ver cual de las dos permite implementar (y de manera más sencilla) las siguientes funcionalidades:
- Timeouts
- Single sign-on
- Sesiones de usuario
Como conclusiones se extraen las siguientes premisas:
- Ambas tecnologías se basan en el concepto del intercambio de tokens.
- Ninguna de las dos tecnologías permite el control de sesiones.
- La tecnología OAuth2 es mucho más compleja de implementar que JWT.
- OAuth 2 está pensada para crear entidades de autentificación o autentificarse mediante terceros (Facebook, twitter, etc, Gmail, etc…)
Tras revisar las características de ambas tecnologías, se recomienda el uso de JWT usando el sistema de TOKENS que lleva implícito e implementando un sistema adicional de control de sesiones mediante el token.
Dicho sistema permite controlar si el usuario tiene más de una sesión abierta y decidir si se permite multisesión o al iniciar una nueva se cierra la activa.
Este sistema nos permite un control más personalizado que OAUTH2 cuyo control reside en terceros,