¿Usas JWT en tu día a día? ¿Qué otros temas de seguridad te interesan? Refresh Tokens, OAuth, SSO, CORS... 👀

Muy buena explicacion, lo unico que le agregaria un diagrama de arquitectura o componente y/o un diagrama de secuencia para entender la interacción entre componentes y entender el sentido de los flujos de datos. Muchas gracias.

No voy a decir que son el mejor canal. Pero su contenido es muy bueno de pequeños detalles se aprende, gracias sigan avanzando asi

Que locura wow 🤩 esto si es contenido de calidad

Hay que tener en cuenta que el payload para JWT es un simple base64. Con lo cual, no debemos almacenar ningún dato sensible en el mismo.

jejejeje me causa gracia como el de man de la derecha narra lo que está pasando.. jejeje.. interesante formato.. buen trabajo..

Excelente vídeo y explicación Visto en 04/09/2021

Y el ¡Key de la cuestion! :D

Jajaja me agrada la explicacion hacia los mortales de Javi!

Saludos desde México

esa optimizacion sobre el peso de los certificados no deberia ser tan importante, los paquetes viajan por la red con un tamaño fijo, muchas veces intentar ahorrar 4 bites (como este caso) no hace que se use un nuevo paquete si no que vaya un paquete medio vacio. Por otro lado enviar suficiente informacion con el jwt puede conseguir evitar consultas en db y por tanto reducir el tiempo de respuesta, actualmente mucho mas importante que el peso de la peticion

Excelente explicación muchachos, muy bien!

Es una pésima práctica meter el token en la URL. Por no decir que es 100% vulnerable a un ataque man in the middle. Esas cosas van mínimo en cabeceras para evitar ataques, sino la encriptación de punto a punto está de pisa papeles. A menos que poco importe que otra persona tenga el token. De todos modos es peligroso y fuera de estándares hacer eso

Algo que me gustaría ver a lo mejor es en un diagrama de secuencia como viaja la informacóon. Porque si bien lo hacen con Symfony, quiero aprender a usarlo en otras tecnologías. Y creo que es bueno bajarnos un poco en las capas OSI.

Muy chulo :)

Excelente explicación

15:12 Jajajajaja 🤣 muy bueno, Saludos...

Una duda, he leído por varios sitios, que no se recomienda tener almacenado el jwt en sesión. ¿Cómo hago si tengo que hacer múltiples peticiones desde el mismo cliente al mismo servidor? ¿Obtengo cada vez el token, antes de enviar la petición al mismo servidor? Otra duda, relacionado con lo anterior, ¿puedo generar un token jwt y utilizar el mismo token para validarme sobre diferentes microservicios invocados desde aplicación? Gracias por vuestros videos.

Genial explicación. Una duda sí que tengo, y es acerca de hacer logout, ¿existe modo limpio (sin sobrecargar el server con una lista blanca o negra) para invalidar un token?

Monté en mi sistema lo mismo que JWT pero sin clave privada y publica. Basicamente encriptada en base64 (>.

el token se genera dependiendo la información que tengo en el JSON, si esa información es muy grande, el token será muy grande. Como minimizar el token?

Si logro interceptar un token, puedo leer el payload porque únicamente está codificado como base 64, podría crear una aplicación para que pruebe contraseñas hasta que me genere la misma encriptacion y así poder decir que descubrí la clave con la que se hizo ese token. ¿Entiendo que es posible, pero cuanto tiempo se tardaría en descubrir esa clave?

Genial, me queda muchísimo más claro los JWT, gracias

Hola! Tengo que realizar transferencias de información desde un aplicación web de un ERP (Tryton) contra un API de un portal web que se autentica por JWT, miles de requests, y estoy solicitando el token (vence en 3600 segundos) en cada request, sin guardar el token en ninguna variable. Estuve leyendo y parece que hay mucha controversia, algunos consideran que es mala práctica cachear el token ya sea guardarlo en memoria, en un archivo y reutilizarlo porque eso sería generar un estado o session, cuando el método es stateless, además de riesgos de seguridad de tipo CSRF, etc. En todo caso para guardar ese token debería generarlo fuera de la función que hace el request y pasarlo como argumento? Actualmente metí el pedido del token directamente dentro de la misma función que hace el request y me desentiendo de verificar si el toquen está vencido, ya que cada request tardará un segundo, pero no tengo idea de cuanto overhead estoy causando. Sdos

Muy útil, una pregunta, que librería o herramienta usan para generar los pdfs? Se hace todo el pdf con código o se puede cargar una especie de plantilla?

Estoy aprendiendo aprendiendo a crear una Api rest con django rest framework, sino utilizo token deberia permitir el acceso del usuario mediante el tipico formulario de acceso donde le pido el usuario y contraseña, esos datos los mando al backend y busca en la base de dato si existe el usuario, si existe lo dejo pasar, si utilizo jwt ya no tendria que volver hacer las consultas a la base de datos cada vez que el usuario quiera acceder al programa, me ahorro la consulta a la base de datos, recibo el token del cliente y lo compruebo, no se si es obligatorio el uso de jwt si lo que quiero es hacer una api rest, lo siento estoy bastante perdido, si alguien me lo aclara, por cierto, utilizar este jwt no es gratuito ? cual deberia utilizar para python?

No han pensado en cambiar el formato de estar al lado a algo mas similar a algunos podcast donde se miran de frente, creo que mejoraría mucho el formato

Hay forma de comprar solo un curso como en otras plataformas? me interesa mucho el curso de symfony. saludos y un abrazo!

En este vídeo veo 2 cosas: - Por una parte estáis ejecutando toda la lógica de negocio en un controlador. No sería mejor tener un servicio al que se le inyectasen esas dependencias y que el controlador simplemente fuera el punto de entrada? - Por otra parte, poner una validez a un token de 5 años... No sería mejor usar 1 hora y tener un endpoint para refrescar el token si ya a expirado?

Que pena no hayáis hecho el ejemplo con node y con strategies que me estuve rompiendo los cuernos dios sabe cuanto para luego acabar haciendo una versión funcional pero con muchos cabos sueltos.

Excelente video, una duda que distribución de Linux usa ?

Para los que dicen que PHP esta muerto.

Al final del video no sé por qué recordé esta caricatura: kzbin.info/www/bejne/gX3YlWWvlKqGi6s

T_T por que en php T_T

5:47 comansenwanjan

Parece un video de publicidad..

Para cuando cursos de iniciacion? Html Css Javascript Y.....

No les entendí ni poniendo subtítulos

Cómo se maneja un logout?