Seguridad

Instagram: Escalando a un millón de usuarios

¡wuaaaaaaaaaaaaaah!

TL;DR: El truco básico para conseguir escalar es añadir más hierro, no hierro más grande. Y cuando lo haces la forma más sencilla de distribuir el tráfico es utilizar balanceadores de carga.

RSS para podcatcher

alojado en archive.org

Venga, voy a contarte una historia, que hace tiempo que no te explico ninguna. Tiene moraleja, claro: que esto no deja de ser un curso y por lo tanto vas a tener un diablillo detrás de la oreja diciéndote lo que no tienes que hacer y cómo solucionar tus problemas de arquitectura. ¡Pero no se gana el trivial y se triunfa en la tertulia de los amiguetes hablando de escalabilidad horizontal y balanceadores de carga sin más! Así que vamos a hablar un rato de Kevin, Mike y su pequeño proyecto.

Configurar CORS en Apache Server

Open source on Github

Sí, sí: no es viernes. Pero este día extra de espera ha merecido la pena porque os traigo un vídeo fresquísimo que en apenas veinte minutos te demuestra cómo invocar un API REST con javascript incluso si se encuentra en un dominio diferente al de la página que realiza la petición ¡activando CORS!

Entender CORS

¡Vengadores, reuniros!

TL;DR: Para que una página web pueda hacer llamadas HTTP a una ruta situada en un dominio diferente al que se usó para descargarla debe pedir autorización primero al servidor del segundo dominio.

RSS para podcatcher

alojado en archive.org

Dale un retweet al post si depurando javascript alguna vez te has encontrado con el mensaje “Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource blah blah blah enabling CORS.”.

Vale, seguramente tienes una idea de lo que significa y de cómo se soluciona pero en el post de hoy vas a entender la brecha de seguridad que ayuda a evitar y qué es lo que pasa cuando activas CORS en el servidor para evitarlo. Empezamos.

Demo del Api Gateway Kong

¡Volvemos a tener vídeo! Esta semana vamos a poner en práctica lo que hemos explicado sobre seguridad en el post con el glosario y en el que hablaba sobre implementaciones .

Configuraremos el API gateway Kong para que nos autentifique mediante API Key. En el post puedes ver todos los comandos que he usado así que no hay excusa para no ponerte manos a la obra y probarlo :)

Cómo implementar la seguridad de tu API (Segunda parte)

Beware of the cat

TL;DR: Access key/Secret key es un mecanismo de autentificación muy popular pero JWT tiene ventajas al proporcionar más información sobre el usuario. Puedes centralizar la seguridad utilizando un API Gateway o implementarla en todos y cada uno de tus microservicios.

RSS para podcatcher

alojado en archive.org

Vale, esta es la segunda parte del post en el que hablo de seguridad desde el punto de vista del desarrollador. Nos vamos a centrar en explicar tanto el acceso mediante Access Key como los detalles sobre JSON Web Token y hablaremos de las alternativas que tienes a la hora de implementar la autenticación incluyendo el uso de API gateways. ¡No lo pierdas!

Cómo implementar la seguridad de tu API (Primera parte)

Beware of the cat

TL;DR: Basic Auth no es adecuado para autenticar usuarios en APIs. OAuth2 sirve para delegar, no para autenticar. Y todo tiene que ir por TLS. ¡Ah! Y nada de cookies. Ok, ahora me explico con más detalle.

RSS para podcatcher

alojado en archive.org

Como decía la semana pasada, hoy vamos a hablar de seguridad. ¡La semana pasada! ¿Lo pillas? Ay… en serio, he echado de menos escribiros y espero que vosotros también os hayáis acordado de mi. Para compensar vuelvo con un capítulo súper práctico y detallado que espero que aclare todas las dudas que tienes sobre un pilar fundamental de tu arquitectura como es la seguridad. Vamos a ello.