Oauth 2.0 Server — Intermedio

Este curso está dirigido a desarrolladores y arquitectos de software con conocimientos previos de OAuth 2.0 que necesitan diseñar, configurar y operar un servidor de autorización en entornos reales. A lo largo de las 8 horas, los participantes profundizarán en la comparación de los flujos OAuth 2.0 más relevantes, aprenderán a diseñar configuraciones seguras adaptadas a distintos tipos de cliente, implementarán integraciones completas con el flujo Authorization Code + PKCE y explorarán la validación offline de tokens JWT en servidores de recursos. Al finalizar el curso, el participante será capaz de configurar y depurar un servidor de autorización OAuth 2.0 funcional, aplicar el principio de mínimo privilegio mediante scopes granulares y tomar decisiones justificadas sobre el formato y la gestión del ciclo de vida de los tokens en función de los requisitos de seguridad y escalabilidad del sistema.

1. Comparar los principales flujos OAuth 2.0 —Authorization Code + PKCE, Client Credentials, Device Code y Refresh Token— distinguiendo el tipo de cliente adecuado para cada uno, las partes involucradas y sus implicaciones de seguridad.
2. Diseñar la configuración de un servidor de autorización adaptada a los requisitos de una aplicación concreta, definiendo clientes, redirect URIs, scopes y tiempos de expiración de tokens.
3. Justificar la definición de scopes granulares bajo el principio de mínimo privilegio, argumentando los riesgos que supone el uso de scopes amplios en escenarios reales.
4. Integrar el flujo Authorization Code + PKCE entre servidor de autorización, aplicación cliente y servidor de recursos, verificando que el acceso protegido solo se concede con un token válido.
5. Integrar la validación de Access Tokens JWT en un servidor de recursos, comprobando firma, expiración, issuer y scopes requeridos sin depender de llamadas en línea al servidor de autorización.
6. Adaptar la estrategia de gestión del Refresh Token —rotación, revocación y tiempo de vida— en función del nivel de riesgo y el tipo de cliente, reconfigurando el servidor de autorización en consecuencia.
7. Comparar el uso de tokens opacos frente a JWT como Access Token y justificar la elección según los requisitos de escalabilidad, revocación inmediata y acoplamiento entre servicios.
8. Depurar errores de autorización comunes a partir de logs y respuestas de error del servidor, identificando la causa raíz y aplicando la corrección correspondiente.

Bloque 1 — Flujos OAuth 2.0 y selección de grant type Se analizan en profundidad los cuatro flujos principales de OAuth 2.0: Authorization Code con PKCE, Client Credentials, Device Code y Refresh Token. Para cada flujo se estudian las partes implicadas, el tipo de cliente al que aplica y las implicaciones de seguridad que determinan su uso adecuado, sentando la base para las decisiones de diseño del resto del curso.

Bloque 2 — Diseño y configuración del servidor de autorización Se aborda la configuración completa de un servidor de autorización: registro de clientes, validación de redirect URIs, definición de scopes granulares bajo el principio de mínimo privilegio y establecimiento de tiempos de expiración de tokens. Se discute por qué scopes amplios representan un vector de riesgo y cómo la granularidad reduce la superficie de ataque en escenarios concretos.

Bloque 3 — Integración del flujo Authorization Code + PKCE Se implementa de forma práctica la integración completa del flujo Authorization Code con PKCE entre los tres actores principales: servidor de autorización, aplicación cliente y servidor de recursos. Se verifica que el acceso a los recursos protegidos únicamente se concede cuando el token presentado es válido, recorriendo cada paso del protocolo y los controles de seguridad asociados.

Bloque 4 — Validación offline de JWT y formato de Access Token Se integra la validación de Access Tokens JWT directamente en el servidor de recursos, comprobando firma criptográfica, expiración, issuer y scopes requeridos sin realizar llamadas en línea al servidor de autorización. A continuación se comparan los tokens opacos y los JWT como formatos de Access Token, analizando sus consecuencias sobre la escalabilidad, la capacidad de revocación inmediata y el grado de acoplamiento entre servicios para orientar la elección según los requisitos del sistema.

Bloque 5 — Gestión del Refresh Token y depuración Se estudia la estrategia de gestión del Refresh Token —rotación automática, revocación explícita y configuración del tiempo de vida— adaptándola al nivel de riesgo y al tipo de cliente mediante cambios en el servidor de autorización. El bloque cierra con la depuración sistemática de los errores de autorización más frecuentes (invalid_client, invalid_grant, insufficient_scope, token expirado, clock skew), interpretando logs y respuestas de error para identificar la causa raíz y aplicar la corrección adecuada.

• Equipo con sistema operativo Windows 10/11, macOS 12+ o Linux con acceso a terminal.
• Entorno de ejecución local con Docker instalado (versión 20.10 o superior) para levantar el servidor de autorización y el servidor de recursos de las prácticas.
• Cliente REST instalado: Postman, Insomnia o equivalente, o acceso a curl desde la terminal.
• Editor de código con soporte para JSON y YAML (Visual Studio Code recomendado).
• Navegador web moderno (Chrome, Firefox o Edge en versión actual) para interactuar con los flujos de redirección.
• Acceso a internet para descargar imágenes Docker y consultar documentación de referencia durante las sesiones prácticas.

• Conceptos fundamentales de OAuth 2.0: roles (Resource Owner, Client, Authorization Server, Resource Server) y flujo general de autorización.
• Nociones básicas de HTTP/HTTPS: métodos, cabeceras de autorización y códigos de estado.
• Familiaridad con la estructura de un token JWT: header, payload y signature.
• Experiencia básica en el uso de herramientas de línea de comandos o clientes REST (curl, Postman o equivalente) para realizar peticiones HTTP.