El estándar para «Login con X». Flows, tokens, PKCE — y dónde el auth hecho a mano se vuelve peligroso.
Categoría · Seguridad y Compliance
El estándar detrás del «Iniciar sesión con X».
OAuth 2.0 es un protocolo de autorización: regula cómo una aplicación puede acceder a otra en nombre de un usuario, sin conocer su contraseña. OpenID Connect (OIDC) se apoya en él y añade la autenticación, es decir, la pregunta de quién es realmente el usuario.
En el centro están los flows que intercambian tokens. Para apps web y móviles, hoy el estándar es el Authorization Code Flow con PKCE, porque funciona también sin un client secret almacenado de forma segura.
Cuándo apostamos por ello.
En todo lugar donde los usuarios inician sesión con identidades existentes o un producto debe acceder a sistemas de terceros: Microsoft Entra, Google, GitHub. En lugar de gestionar contraseñas nosotros mismos, nos apoyamos en proveedores de identidad consolidados.
Eso reduce de forma perceptible la superficie de ataque y el esfuerzo: la gestión de sesiones, el MFA y los restablecimientos de contraseña quedan en manos del proveedor, que lo opera como negocio principal.
Dónde la autenticación casera se vuelve peligrosa.
OAuth es sutil. Unos redirect-URIs mal configurados, la ausencia de PKCE o tokens validados sin limpieza abren brechas reales. La autenticación de fabricación propia no suele fracasar en el login, sino en los casos límite: renovación de tokens, logout, revocación.
Nuestra regla: usar bibliotecas y proveedores probados, no reinventar el protocolo.
