Qué es autentificarse

• Por autentificarse vamos a entender un mecanismo por el cual el servidor web puede estar relativamente confiado en que está siendo consultado por una determinada máquina y/o persona
• Por ejemplo podemos visitar esta página y ver diferentes modos en los que piden autentificarse

https://www.tractis.com/login

• Modos de autentificarse

1. contraseña y usuario
2. Dni digital
3. Certificados digitales de usuario

...

• Nosotros en este tema usaremos el módo de contraseña y usuario. En dos temas posteriores, cuando veamos servicios web usaremos otro sistema como google, igualmente se podría usar la cuenta de facebook o twiter para identificarte.
• La responsabilidad de exigir una clave de acceso puede recaer sobre el servidor web con los módulos de seguridad
• En este caso restringimos el acceso a la página o sitio web
• Otra opción habitual es tener un sitio con cierto contendo y en el sitio dar la posibilidad de identificarse / registrarse.
• A usuarios identificados se les ofrece otro contendio diferente.

Respecto a estos conceptos vamos a trabajar este tema que es el primero de tres aspectos del tema 4

protocolo http vs https

• Este es un concepto importante
• La seguridad del envío de datos es otro aspecto diferente del tema de la autentificación
• En seguridad entre otros aspectos tenemos

1. La autentificación mecanismos por los cuales podemos confiar en que quien se ha identificado es conocido para el sistema
2. La confidencialidad son mecanismos con los que podemos confiar en que nadie puede ver el contendio de la información ni modificarla durante la transmisión.

• Ambos mecanismos debería de trabajar conjuntamente. Por ejemplo si yo envío una contraseña para identificarse, pero con un sniffer alguien la puede capturar y ver en claro, no coneseguimos nada de seguridad .
• Para la transmisión segura se emplea el protocolo https.
• Este tema se estudia en el módulo de despliegue de aplicaciones web.
• Nosotros usaremos http sin cifrar, pero se insiste en que no es segura la transmisión, pues podría ser objetivo de espía informático.

Autentificación por el servidor web

• Es el propio servidor http quien nos ofrece este método de autentifiación.
• Seguramente ya lo habéis estudiado en despliegue, pero lo vamos a comentar
• El mecanismo es sencillo.

1. Definir los usarios con acceso permitido
2. Se puede indicar a qué recursos tiene acceso el usuario en concreto
3. el código http en caso de acceso restringido es el 401
4. El navegador al recigir ese código solicita credenciales

• El servidor recibe estas credenciales y las almacena en sus variables superglobales para futuras solicituds

Crear la lista de usuarios

• Usamos la herramienta htpasswd para crear un fichero con los usarios y sus contraseñas

http://httpd.apache.org/docs/2.4/es/howto/auth.html

• Este comando tiene una serie de opciones que podemos ver en línea de comandos sin mas que esciribr su nombre

Usage:
	htpasswd [-cmdpsD] passwordfile username
	htpasswd -b[cmdpsD] passwordfile username password
 
	htpasswd -n[mdps] username
	htpasswd -nb[mdps] username password
 -c  Create a new file.
 -n  Don\'t update file; display results on stdout.
 -m  Force MD5 encryption of the password (default).
 -d  Force CRYPT encryption of the password.
 -p  Do not encrypt the password (plaintext).
 -s  Force SHA encryption of the password.
 -b  Use the password from the command line rather than prompting for it.
 -D  Delete the specified user.
On other systems than Windows, NetWare and TPF the '-p' flag will probably not work.
The SHA algorithm does not use a salt and is less secure than the MD5 algorithm.

• importante es la opción -c para crear el fichero
• Para incorporar nuevos usuarios se escribe sin opcion y se añaden
• Por seguridad es importante añadir el fichero en una ubicación fuera del servidor web.

Actividad

crea un fichero llamado misUsuarios y añade 3 usuarios maria/maria nieves/nieves sara/sara sudo htpasswd -c misUsuarios maria .... sudo htpasswd nieves .... sudo htpasswd nieves