Autenticación

Authentication

Autenticación es el proceso de verificar las credenciales de un usuario, como nombre de usuario y contraseña, para confirmar su identidad. La autenticación protege los datos contra el acceso no autorizado.

Los métodos de autenticación más comunes incluyen:

nombre de usuario y contraseña
datos biométricos (huella dactilar, reconocimiento facial)
tokens y certificados

¿Cómo garantizar la seguridad?

Lado del usuario

Contraseña fuerte: usa una combinación de letras, números y símbolos.

Actualización de contraseñas: cambia las contraseñas al menos cada pocos meses.

Actualizaciones de software: instala actualizaciones a tiempo para corregir vulnerabilidades.

Lado de la aplicación

Autenticación multifactor: comprobaciones adicionales, por ejemplo enviar un código al teléfono.

Almacenamiento de contraseñas: usa algoritmos de cifrado seguros.

Actualizaciones de software: instala actualizaciones a tiempo para corregir vulnerabilidades.

¿Cómo funciona una solicitud HTTP de autenticación?

Cuando introducimos login/contraseña y hacemos clic en «Login», el navegador envía una solicitud HTTP, por ejemplo:

Método HTTP POST

Dirección URL https://tester-today.com/login

Encabezado Content-Type: application/json

Cuerpo de la solicitud { "username": "login", "password": "pass" }

Si la autenticación tiene éxito, el servidor responde con el estado HTTP 200 OK

Si los datos del cliente no coinciden con los datos del servidor, devuelve el estado HTTP 401 Unauthorized

¿Por qué no se debe usar GET para la autenticación?

Con el método GET, los datos normalmente se envían directamente en la URL.

🔒 https://www.example.com/login?username=login&password=pass

Esto puede provocar una fuga de datos debido a:

visualización de los datos del usuario en la barra de direcciones;
el usuario podría guardar la URL como marcador;
el navegador puede almacenar en caché páginas solicitadas mediante GET;
el navegador guarda el historial de solicitudes con URL visibles.

Usa el método HTTP POST para enviar login y contraseña.

Encabezado Authorization

Además de la autenticación basada en formularios, donde los datos se envían en el cuerpo de la solicitud, las credenciales también pueden enviarse en el encabezado HTTP Authorization . A menudo, esto lo gestionan automáticamente las bibliotecas cliente.

El encabezado Authorization admite varios esquemas de autenticación:

Bearer

El cliente recibe un token después del login y lo envía con cada solicitud.

Authorization: Bearer <токен>

Basic

El nombre de usuario y la contraseña se codifican usando Base64. Los datos se pueden decodificar fácilmente.

Authorization: Basic YWRtaW46cGFzc3dvcmQ=

API Key

El cliente envía una clave única. Puede pasarse en cualquier encabezado o como parámetro de consulta.

X-API-Key: 123456789abcdef

Tarea

¡Tarea disponible para usuarios premium!

Desbloquea el acceso para aprender sin límites.

Acceso completo a todas las tareas prácticas

Verificación de respuestas

Intentos ilimitados