OAuth 2.0 seguro: implementando PKCE correctamente

Este video es la continuación de nuestra explicación sobre OAuth 2.0, donde profundizamos en el uso de proveedores externos para el inicio de sesión social y el acceso a servicios. En el vídeo anterior detallamos el flujo de autenticación con el Oauth authorization code flow y la generación de tokens. En este vamos a ver a fondo cómo implementar mejores prácticas de seguridad con PKCE ya que además de servir para autenticar clientes públicos, también funciona para mejorar la seguridad. Aquí te dejo algunas referencias para consultar: Recomendación de Stack Overflow https://stackoverflow.com/questions/76079936/openid-connect-for-spas-with-backend-api-deciding-between-pkce-vs-traditional Vídeo sobre seguridad en OAuth https://www.youtube.com/watch?v=lEnbi4KClVw Documento RFCE del PKCE https://datatracker.ietf.org/doc/html/rfc7636 Recomendaciones de seguridad por parte de Duende https://duendesoftware.com/blog/20250805-best-practices-of-web-application-security-in-2025 Capítulos 00:00 Introducción 00:26 ¿Qué vamos a hacer? 00:47 ¿Qué es Proof Key of Code Exchange (PKCE)? 01:58 Flujo Authorization Code + PKCE 03:08 Code Verifier y Code Challenge 05:29 ¿Cómo el protocolo usa los códigos? 06:55 Implementando PKCE en nuestro proyecto 09:49 Cambiando el cliente a cliente público 10:23 Testando posibles variables del flujo 11:37 Problemas con la seguridad de clientes públicos en la web 12:02 Seguridad de las cookies 13:50 Problemas de guardar el token en el local storage 15:40 Recapitulando por última vez 16:15 Más referencias y recomendaciones 17:08 Despedida