Oauth 2.0 Server — Avanzado

Dirigido a ingenieros y arquitectos de seguridad con experiencia previa en la implementación y operación de servidores OAuth 2.0, este curso aborda los retos que aparecen cuando una plataforma de autorización debe operar en entornos de producción de alta disponibilidad, con múltiples tipos de clientes y superficies de ataque reales. A lo largo de las sesiones, el participante arquitecturará servidores de autorización completos tomando decisiones de diseño justificadas, evaluará críticamente la selección de grant types según el perfil de cada cliente, diseñará estrategias de ciclo de vida y exchange de tokens, anticipará vectores de ataque con metodologías estructuradas como STRIDE, optimizará configuraciones de tiempos de vida para distintos perfiles, automatizará pruebas de conformidad en pipelines CI/CD y gestionará la rotación de claves de firma sin interrupción de servicio. Al finalizar, el participante será capaz de auditar una implementación OAuth 2.0 existente, identificar y priorizar vulnerabilidades y proponer remedios técnicos concretos respaldados por estándares como RFC 6749, RFC 8693, RFC 9700 y el OAuth Security BCP.

1. Arquitecturar un servidor de autorización OAuth 2.0 completo, definiendo sus componentes principales, las responsabilidades de cada uno y las decisiones de diseño frente a alternativas descartadas.
2. Evaluar críticamente la selección de grant types para distintos tipos de cliente —server-to-server, SPA, app nativa e IoT—, descartando flujos deprecados con referencia a estándares vigentes.
3. Diseñar la estrategia de ciclo de vida de tokens —emisión, rotación, revocación e introspección— justificando la elección entre tokens opacos y JWT según el modelo de amenaza y los requisitos de escalabilidad.
4. Anticipar vectores de ataque sobre el servidor de autorización aplicando STRIDE o metodología equivalente, y proponer contramedidas implementables referenciadas en controles estándar.
5. Optimizar la configuración de tiempos de vida de access token, refresh token y caché de JWKS, demostrando el equilibrio entre seguridad y rendimiento para al menos dos perfiles de cliente.
6. Automatizar la validación de conformidad del servidor contra RFC 6749 y OIDC Core integrando las pruebas en un pipeline CI/CD que bloquee el despliegue ante regresiones de seguridad críticas.
7. Arquitecturar la estrategia de rotación de signing keys sin interrupción de servicio, contemplando la ventana de propagación de JWKS y un procedimiento de rollback documentado.
8. Diseñar un mecanismo de token exchange o delegación de identidad entre servicios internos que preserve el principio de mínimo privilegio y evite la escalada de privilegios entre microservicios.
9. Evaluar críticamente una implementación de servidor OAuth 2.0 real o de caso, identificando y priorizando vulnerabilidades por riesgo e indicando el remedio técnico concreto para cada una.

Bloque 1 — Arquitectura del servidor de autorización Se estudia la anatomía completa de un servidor de autorización OAuth 2.0: endpoints obligatorios y opcionales, modelos de almacenamiento de tokens, exposición del endpoint JWKS e introspección, y las decisiones de diseño que surgen al comparar al menos dos arquitecturas alternativas. A continuación se aborda la selección razonada de grant types, analizando las características de cada tipo de cliente —servidor a servidor, SPA, aplicación nativa y dispositivo IoT— y el impacto de RFC 9700 en la deprecación de flujos inseguros.

Bloque 2 — Ciclo de vida de tokens y gestión de claves Este bloque cubre la estrategia integral de emisión, rotación, revocación e introspección de tokens en entornos de alta disponibilidad, con análisis comparativo entre tokens opacos y JWT desde la perspectiva del modelo de amenaza y la escalabilidad. Se complementa con la planificación de la rotación continua de signing keys RS256/ES256, la gestión de la ventana de propagación de JWKS en los resource servers y la definición de procedimientos de rollback documentados que garanticen cero interrupciones de servicio.

Bloque 3 — Seguridad ofensiva y defensiva del servidor Se trabaja la identificación sistemática de vectores de ataque —token leakage, CSRF, interceptación de authorization code, replay y credential stuffing sobre /token— aplicando STRIDE, y se mapean contramedidas implementables del OAuth Security BCP. Seguidamente se profundiza en la optimización de tiempos de vida del access token, el refresh token y la caché de JWKS, usando métricas simuladas o reales para demostrar el balance entre ventana de exposición y carga sobre el Authorization Server en distintos perfiles de cliente.

Bloque 4 — Conformidad, delegación y auditoría El bloque final aborda la automatización de pruebas de conformidad contra RFC 6749 y OIDC Core integradas en un pipeline CI/CD, con umbrales de calidad que bloqueen el despliegue ante regresiones críticas. Se estudia también el diseño de mecanismos de token exchange según RFC 8693 para la delegación de identidad entre microservicios, con énfasis en el principio de mínimo privilegio y la prevención de escalada de privilegios. El curso cierra con un ejercicio de auditoría sobre una implementación real o caso proporcionado, donde el participante identifica, prioriza y propone remedio para al menos cinco vulnerabilidades o malas prácticas detectadas.

• Entorno local con Docker o acceso a un servidor de autorización configurable (Keycloak ≥ 22, ORY Hydra ≥ 2.x o equivalente) para los ejercicios prácticos.
• Herramientas de línea de comandos: curl, jq y un cliente HTTP tipo Postman o Insomnia para inspeccionar flujos OAuth.
• Acceso a un repositorio Git con capacidad de configurar pipelines CI/CD (GitHub Actions, GitLab CI o equivalente) para el bloque de automatización.
• Utilidad de análisis de JWT (jwt-cli, jwt.io en modo offline o equivalente) y acceso a openssl o herramientas de gestión de claves asimétricas.
• Navegador moderno con las DevTools habilitadas y acceso a red sin proxy corporativo que intercepte TLS, para depurar flujos de redirección.

• Manejo fluido de los grant types de OAuth 2.0 (Authorization Code + PKCE, Client Credentials, Device Authorization) y comprensión de su flujo técnico completo.
• Experiencia práctica en la configuración y operación de un servidor de autorización (p. ej. Keycloak, Auth0, ORY Hydra o equivalente).
• Conocimiento sólido de JWT: estructura, firma (RS256/ES256), validación y gestión básica de claves.
• Familiaridad con conceptos de modelado de amenazas y lectura de RFCs de seguridad (RFC 6749, RFC 7519, RFC 7662).
• Capacidad para leer e interpretar configuración de servidores y logs de autorización en entornos reales o de laboratorio.