El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
HOME Mis cursos Finalizados
◄ Anterior

Autenticación y Autorización

Siguiente ►

Introducción

En el contexto de las arquitecturas de sistemas, la seguridad es un aspecto crítico que no puede ser ignorado. Dos de los componentes más importantes de la seguridad son la autenticación y la autorización. Estos procesos aseguran que solo los usuarios legítimos puedan acceder a los recursos del sistema y que solo puedan realizar las acciones para las que tienen permiso.

Objetivos de esta sección:

  1. Comprender los conceptos de autenticación y autorización.
  2. Conocer los métodos y tecnologías comunes para implementar autenticación y autorización.
  3. Aprender a diseñar sistemas seguros mediante la correcta implementación de estos procesos.

Conceptos Básicos

Autenticación

La autenticación es el proceso de verificar la identidad de un usuario o sistema. En otras palabras, es el mecanismo que asegura que alguien es quien dice ser.

Métodos Comunes de Autenticación:

  • Contraseñas: El método más común, donde el usuario proporciona una contraseña secreta.
  • Tokens: Utilización de tokens generados por sistemas de autenticación.
  • Biometría: Uso de características físicas como huellas dactilares o reconocimiento facial.
  • Autenticación de Dos Factores (2FA): Combina dos métodos de autenticación, como una contraseña y un código enviado al teléfono móvil.

Autorización

La autorización es el proceso de determinar si un usuario autenticado tiene permiso para realizar una acción específica o acceder a un recurso particular.

Métodos Comunes de Autorización:

  • Listas de Control de Acceso (ACL): Define qué usuarios o sistemas tienen acceso a qué recursos.
  • Roles y Permisos: Asigna permisos a roles específicos y luego asigna roles a usuarios.
  • Políticas Basadas en Atributos (ABAC): Utiliza atributos del usuario y del entorno para tomar decisiones de autorización.

Implementación de Autenticación y Autorización

Autenticación

Ejemplo de Implementación de Autenticación con JWT (JSON Web Tokens)

import jwt
import datetime

# Clave secreta para firmar el token
SECRET_KEY = 'mi_clave_secreta'

def generar_token(usuario_id):
    payload = {
        'usuario_id': usuario_id,
        'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1)
    }
    token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')
    return token

def verificar_token(token):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
        return payload['usuario_id']
    except jwt.ExpiredSignatureError:
        return 'Token expirado'
    except jwt.InvalidTokenError:
        return 'Token inválido'

# Generar un token para el usuario con ID 1
token = generar_token(1)
print(f'Token generado: {token}')

# Verificar el token
usuario_id = verificar_token(token)
print(f'ID del usuario autenticado: {usuario_id}')

Explicación del Código:

  1. Generar Token: La función generar_token crea un token JWT con el ID del usuario y una fecha de expiración.
  2. Verificar Token: La función verificar_token decodifica el token y verifica su validez, devolviendo el ID del usuario si el token es válido.

Autorización

Ejemplo de Implementación de Autorización Basada en Roles

# Definición de roles y permisos
roles_permisos = {
    'admin': ['crear', 'leer', 'actualizar', 'eliminar'],
    'usuario': ['leer']
}

# Asignación de roles a usuarios
usuarios_roles = {
    1: 'admin',
    2: 'usuario'
}

def verificar_permiso(usuario_id, accion):
    rol = usuarios_roles.get(usuario_id)
    if rol and accion in roles_permisos.get(rol, []):
        return True
    return False

# Verificar si el usuario con ID 1 puede 'crear'
puede_crear = verificar_permiso(1, 'crear')
print(f'El usuario 1 puede crear: {puede_crear}')

# Verificar si el usuario con ID 2 puede 'crear'
puede_crear = verificar_permiso(2, 'crear')
print(f'El usuario 2 puede crear: {puede_crear}')

Explicación del Código:

  1. Roles y Permisos: Se define un diccionario que asigna permisos a roles específicos.
  2. Usuarios y Roles: Se asignan roles a usuarios mediante un diccionario.
  3. Verificar Permiso: La función verificar_permiso comprueba si un usuario tiene permiso para realizar una acción específica.

Ejercicios Prácticos

Ejercicio 1: Implementar Autenticación con Contraseñas

Instrucciones:

  1. Crea una función para registrar usuarios con un nombre de usuario y una contraseña.
  2. Almacena las contraseñas de manera segura utilizando hashing.
  3. Crea una función para autenticar usuarios verificando su nombre de usuario y contraseña.

Solución:

import hashlib

usuarios = {}

def registrar_usuario(nombre_usuario, contrasena):
    hash_contrasena = hashlib.sha256(contrasena.encode()).hexdigest()
    usuarios[nombre_usuario] = hash_contrasena

def autenticar_usuario(nombre_usuario, contrasena):
    hash_contrasena = hashlib.sha256(contrasena.encode()).hexdigest()
    if usuarios.get(nombre_usuario) == hash_contrasena:
        return True
    return False

# Registrar un usuario
registrar_usuario('usuario1', 'mi_contrasena_segura')

# Autenticar al usuario
autenticado = autenticar_usuario('usuario1', 'mi_contrasena_segura')
print(f'Usuario autenticado: {autenticado}')

Ejercicio 2: Implementar Autorización Basada en Atributos

Instrucciones:

  1. Define atributos para los usuarios, como departamento y nivel de acceso.
  2. Crea una función que verifique si un usuario tiene permiso para acceder a un recurso basado en sus atributos.

Solución:

usuarios_atributos = {
    1: {'departamento': 'IT', 'nivel_acceso': 5},
    2: {'departamento': 'HR', 'nivel_acceso': 3}
}

recursos_permisos = {
    'servidor': {'departamento': 'IT', 'nivel_acceso': 4},
    'documento': {'departamento': 'HR', 'nivel_acceso': 2}
}

def verificar_acceso(usuario_id, recurso):
    usuario = usuarios_atributos.get(usuario_id)
    permiso = recursos_permisos.get(recurso)
    if usuario and permiso:
        if usuario['departamento'] == permiso['departamento'] and usuario['nivel_acceso'] >= permiso['nivel_acceso']:
            return True
    return False

# Verificar si el usuario con ID 1 puede acceder al 'servidor'
puede_acceder = verificar_acceso(1, 'servidor')
print(f'El usuario 1 puede acceder al servidor: {puede_acceder}')

# Verificar si el usuario con ID 2 puede acceder al 'servidor'
puede_acceder = verificar_acceso(2, 'servidor')
print(f'El usuario 2 puede acceder al servidor: {puede_acceder}')

Conclusión

En esta sección, hemos explorado los conceptos fundamentales de autenticación y autorización, así como sus métodos de implementación. La autenticación asegura que los usuarios son quienes dicen ser, mientras que la autorización determina qué acciones pueden realizar. Implementar estos procesos de manera efectiva es crucial para la seguridad de cualquier sistema.

Resumen:

  • Autenticación: Verificación de la identidad del usuario.
  • Autorización: Determinación de los permisos del usuario.
  • Métodos Comunes: Contraseñas, tokens, biometría, ACL, roles y permisos, ABAC.
  • Ejemplos Prácticos: Implementación de autenticación con JWT y autorización basada en roles y atributos.

Con estos conocimientos, estás preparado para diseñar sistemas más seguros y robustos, protegiendo los recursos y datos de tu organización.

◄ Anterior
Siguiente ►

Arquitecturas de Sistemas: Principios y Prácticas para Diseñar Arquitecturas Tecnológicas Robustas y Escalables

Módulo 1: Introducción a las Arquitecturas de Sistemas

Módulo 2: Principios de Diseño de Arquitecturas

Módulo 3: Componentes de una Arquitectura de Sistemas

Módulo 4: Escalabilidad y Rendimiento

Módulo 5: Seguridad en Arquitecturas de Sistemas

Módulo 6: Herramientas y Tecnologías

Módulo 7: Casos de Estudio y Ejemplos Prácticos

Módulo 8: Tendencias y Futuro de las Arquitecturas de Sistemas

El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
© Copyright 2024. Todos los derechos reservados