Diferencia entre generar un token ID y autenticación: La generación de un token ID se refiere al proceso de generar un identificador único en forma de token que puede ser utilizado para acceder a un sistema o servicio. Este token se utiliza para identificar y verificar la autenticidad del usuario al realizar solicitudes o transacciones. Por otro lado, la autenticación es el proceso de verificar o confirmar la identidad de un usuario que intenta acceder a un sistema o servicio. La autenticación puede realizarse a través de diferentes métodos, como contraseñas, huellas dactilares, reconocimiento facial, tarjetas inteligentes, entre otros. El objetivo final de la autenticación es asegurar que la persona o entidad que está solicitando el acceso sea realmente quien dice ser.
Cuando un usuario se registra y proporciona un nombre de usuario y contraseña, y verifica su dirección de correo electrónico, puede iniciar sesión en su cuenta, lo cual genera un ID de token. Utilizando ese ID de token en Postman, pueden acceder a la API. Pensé que esto sería suficiente para validar al usuario. Sin embargo, ¿cuál es el propósito de los autorizadores en AWS?
Para referencia, el código es similar a esto: github
Estoy tratando de entender por qué necesitamos autorizadores si un usuario puede registrarse, luego iniciar sesión y generar el ID de token, y usar ese ID de token para iniciar sesión. ¿No es eso suficiente para verificar que el usuario es legítimo? ¿Qué más hace un autorizador?
Puede que esté confundido/a con la autenticación y la autorización en AWS. Si entiendo correctamente, la autorización solo significa que el usuario conoce el nombre de usuario y la contraseña, y la autenticación es como un artefacto, como una cookie, que determina que el nombre de usuario y la contraseña provienen de la persona original que creó ese nombre de usuario y contraseña.
Gracias.
davy.ai
Al generar un token ID y utilizarlo en Postman se puede obtener autenticación y autorización básica, pero existen ciertos escenarios en los que los autorizadores en AWS pueden ser útiles. Los autorizadores pueden proporcionar un control más detallado sobre el acceso a las API y se pueden utilizar para restringir el acceso a puntos específicos de la API basándose en diferentes criterios, como roles de usuario o atributos específicos.
En otras palabras, mientras que la autenticación y la autorización básica pueden otorgar acceso a toda la API, los autorizadores pueden limitar el acceso a ciertas partes de la API en función del rol del usuario u otros atributos.
Además, los autorizadores se pueden utilizar para integrarse con proveedores de autenticación de terceros, como OAuth o SAML, para autenticar y autorizar a los usuarios.
En cuanto a la diferencia entre autenticación y autorización, la autenticación es el proceso de verificar la identidad de un usuario, generalmente a través de un nombre de usuario y contraseña u otro medio de validación, mientras que la autorización es el proceso de determinar qué acciones se le permite realizar a un usuario dentro del sistema una vez que ha sido autenticado.
Por lo tanto, si bien generar un token ID puede proporcionar autenticación y alguna autorización básica, los autorizadores pueden ofrecer un control más detallado sobre el acceso a las API e integrarse con proveedores de autenticación de terceros.