Autenticación y Autorización

• Autenticación vs Autorización
• Métodos de autenticación
• Seguridad en .NET Core
• Políticas para contraseñas

Métodos de autenticación

• Basic Authentication (username, password and SSL/TLS)

• Bearer or Token based Authentication(JWT)

• OpenID

• OAuth

• API keys

Basic Authentication

Bearer o Token

OpenID

OAuth 2.0

API Key

Autenticación

• Directorio Activo
• Office365
• Single Sign On

Autorización

• Roles
• Políticas
• Claims

.NET Core

• Altamente acoplado a SQL Server
• Configuraciones complejas con otros motores
• Roles y contraseñas requeridas
• Campos customizados dificiles de manejar

ASP.NET Membership(2005)

• Soporte a esquema de BD customizados
• Extensiones para OAuth y OpenID
• Existe aún alto acoplamiento a SQL Server
• Dificil para pruebas unitarias

Simple Membership(2012)

• UserManager & SignInManager
• Soporte completo a OAuth y OpenID
• Soporte diferentes motores de BD, incluso los NoSQL
• Roles, Claims
• Cuentas empresariales (Active Directory, Azure AD, Office 365)
• Fácil control en hashing de contraseñas
• Single Sign On
• Creación de "secrets" en archivos de configuración

ASP.NET Identity (2017)

• Funcionalidad "Remember me"
• Bloqueo de cuentas
• Roles
• Confirmación de cuentas(Email)

Además de...

• Lista negra de contraseñas
• Nivel intermedio en complejidad de las politicas de definición de contraseñas
• Bloquear al usuario con multiples intentos fallidos.(Ataque de fuerza bruta)
• Two-factor authentication
• Geolocalicación del usuario

Políticas de seguridad