Servicios REST con .NET Core
  • Servicios REST con ASP.NET Core y Entity Framework Core
  • 1. Introducción
    • 1.1 Instalación Visual Studio Community
    • 1.2 Instalación de SQL Server en Mac
    • 1.3 Extensión Intellicode
    • 1.4 Aplicación de ejemplo
  • 2. Explicación de Conceptos
    • 2.1 Servicios REST
      • 2.1.1 OData
      • 2.1.2 GraphQL
    • 2.2 Entity Framework para versiones de tu base de datos
    • 2.3 Paquetes Nuget
    • 2.4 Archivo de recursos
    • 2.5 Estructura de los Proyectos .Net Core
    • 2.6 Código Limpio
    • 2.7 Programación asíncrona
    • 2.8 Git
    • 2.9 ¿Qué es Scrum?
      • 2.9.1 Personas
      • 2.9.2 Roles Scrum
      • 2.9.3 Backlog
      • 2.9.4 Reuniones del Scrum
  • 3. Control de código fuente y Scrum con Azure DevOps
    • 3.1 Introducción a Azure DevOps
      • 3.1.1 Crear un nuevo Proyecto en Azure DevOps
      • 3.1.2 Agregando personas al equipo de trabajo
      • 3.1.3 Agregando los sprints y la capacidad de trabajo
      • 3.1.4 Crear el Backlog y asignar User Stories al Sprint
      • 3.1.5 Crear Prototipos
      • 3.1.6 Conectar a Azure DevOps desde Visual Studio
        • 3.1.6.1 Crear tu proyecto con Visual Studio Community y sincronizarlo a Azure DevOps
      • 3.1.7 Consultar tus tareas pendientes
        • 3.1.7.1 Tareas y Dashboards con Azure DevOps
        • 3.1.7.2 Consultar tus tareas desde Visual Studio Community
      • 3.1.8 Trabajando con Ramas (Branches)
        • 3.1.8.1 Crear la rama desarrollo desde Azure DevOps
          • 3.1.8.1 Crear una rama(branch) desde tu tarea en Azure DevOps
        • 3.1.8.2 Como trabajar con ramas (branches) desde Visual Studio Community
        • 3.1.8.3 Crear el Pull Request con Azure DevOps
      • 3.1.9 Retrospectiva del Sprint
      • 3.1.10 Agregando una Wiki
    • 3.2 Integrando tu código fuente a GitHub
      • 3.2.1 Trabajando con ramas en GitHub
      • 3.2.2 Sincronizar los cambios del código con GitHub y Visual Studio
      • 3.3 Trabajando con Branches (Ramas) con Visual Studio
        • 3.3.1 Branches con Visual Studio
        • 3.3.2 Creando un template para tus PR (Pull Request)
        • 3.3.3 Protegiendo tu branch
  • 4. Creando tu primer servicio
    • 4.1 Crear las base de datos y los usuarios en MySQL
    • 4.2 Crear la tabla Categoría y sus validaciones
    • 4.3 Creando el servicio Categorias
    • 4.4 Probando tus servicios con POSTMAN
    • 4.5 Documentar y Probar tus servicios con Swagger
      • 4.5.1 Configurar Swagger
      • 4.5.2 Comentarios XML
      • 4.5.3 Generando la página de documentación
    • 4.6 Agregando índices
    • 4.7 Mejorando tu código
      • 4.7.1 Creando Objetos de Accesos a Datos
      • 4.7.2 Creando tus mensajes de error en diferentes idiomas
      • 4.7.3 Cambiando el formato del Json de los servicios
  • 5. Agregando el servicio para los productos
    • 5.1 Crear la tabla de Productos
    • 5.2 Formas de cargar información de tablas relacionadas
    • 5.3 Crear llaves fóraneas e índices
    • 5.4 Creando el servicio Productos
    • 5.5 Validar Reglas Mejorando tu código
      • 5.5.1 Agregando una excepción a todos nuestros servicios
      • 5.5.2 Agregando clases genéricas para validar y/o consultar información
      • 5.5.3 Alternativa para validar reglas con ef core
  • 6. Cambiar de base de datos a SQL Server
    • 6.1 Cambiar la base de datos a SQL Server
    • 6.2 Cambiar a SQL Server en Azure
  • 7. Crear servicios con OData
    • 7.1.1 Creando el modelo Clientes
    • 7.1.2 Creando el modelo ClienteCategoría
    • 7.1.3 Agregando paquete Nuget para OData
    • 7.1.4 Configurar el EDM Model
    • 7.1.5 Configurar el servicio OData y llaves foráneas
    • 7.1.6 Creando el Controller para clientes
    • 7.1.7 Configurar y probar los servicios con OData
    • 7.1.8 Práctica Crear el servicio para ClientesCategorias
    • 7.1.9 Recomendaciones de seguridad y rendimiento a tomar en cuenta con OData
  • 8. GraphQL
    • 8.1.1 Creando la tabla Caducidad
    • 8.1.2 Creando el query
    • 8.1.3 Configurando y probando graphQL
    • 8.1.4 Creando la Mutation
    • 8.1.5 Probando nuestros servicios con Postman
  • 9. Seguridad
    • 9.1 Json Web Tokens
    • 9.2 Seguridad basada en roles y usuarios
      • 9.2.1 Creando nuestra tabla roles e insertando los roles principales
      • 9.2.2 Consideraciones de seguridad para almacenar tus passwords
      • 9.2.3 Creando las tablas para manejar la seguridad
      • 9.2.4 Agregando usuarios y roles
    • 9.3 Agregando seguridad a nuestros servicios
    • 9.4 Creando nuestro servicio de login y generar el token
    • 9.5 ¿Cómo agregar seguridad basada en roles a los Servicios REST?
      • 9.5.1 Seguridad basada en claims
      • 9.5.2 Creando las tablas para validar permisos por cada tabla
      • 9.5.3 Seguridad basada en directivas
      • 9.5.4 Seguridad con Action Filters
    • 9.6 Guardando el historial de cambios
    • 9.7 Refrescando tu token
    • 9.8 Seguridad Mejorando tu código
      • 9.8.1 ¿Cómo limitar el número de intentos incorrectos en el login?
      • 9.8.2 ¿Cómo obtener la ciudad del usuario por medio de la IP?
      • 9.8.3 Habilitando CORS
  • 10. Pruebas Unitarias
    • 10.1 Agregando el proyecto de pruebas unitarias
    • 10.2 Crear una prueba unitaria
      • 10.2.1 Ejecutando las pruebas unitarias
    • 10.3 Agregando una base de datos en memoria para nuestras pruebas unitarias
    • 10.4 Agregando la referencia de nuestro proyecto CaducaRest
      • 10.4.1 Agregando paquetes nuget necesarios
    • 10.5 Configurando Clases para Objetos Sustitutos
      • 10.5.1 Configurando el Contexto para utilizar la base de datos en Memoria
      • 10.5.2 Configurando el objeto para sustituir mensajes de Error por idioma
    • 10.6 Agregando pruebas para las Categorías
  • 11. Integración continua
    • 11.1 ¿Qué es la integración continua?
    • 11.2 Subir tu código fuente a BitBucket
      • 11.2.1 Integración continua y pruebas automáticas con Bitbucket
    • 11.3 Integración continua y pruebas automáticas en Azure DevOps
  • 12. Pruebas de integración
    • 12.1 ¿Qué es SpecFlow?
    • 12.2 Agregando el proyecto de pruebas de integración
    • 12.3 Configurando Specflow
    • 12.4 Creando pruebas para el login
    • 12.5 Agregando las pruebas de Integración a Azure Devops
    • 12.6 Specflow Mejorando tu código
      • 12.6.1 Cambiando las pruebas a español
      • 12.6.2 Pasando tablas a nuestras pruebas
      • 12.6.3 Agregar los passwords como variables de ambiente
      • 12.6.4 Probando con SQLite
      • 12.6.5 Agregando diferentes parámetros con MSTest
      • 12.6.6 Generando el reporte living doc de specflow
  • 13. Integración continua con Postman
    • 13.1 Recomendaciones para probar tus servicios
    • 13.2 Instrucciones básicas para probar con Postman
    • 13.3 Crear colecciones en Postman
    • 13.4 Agregar pruebas a tus servicios
    • 13.5 Crear environments
    • 13.6 Agregando datos de prueba con archivos .csv
    • 13.7 Exportando tus colecciones y ejecutarlas con Newman.
    • 13.8 Agregando las colecciones de postman al pipeline
  • 14. Pruebas de usuario
    • 14.1 Page Object Model
    • 14.2 ¿Qué es Selenium?
      • 14.2.1 Selenium Instrucciones básicas
      • 14.2.2 Agregando el proyecto de pruebas de usuario
    • 14.3 ¿Qué es Cypress?
      • 14.3.1 Cypress Instrucciones básicas
    • 14.4 ¿Qué es Playwright?
      • 14.4.1 Playwright Instrucciones básicas
  • 15. Despliegue Continuo con Azure DevOps y Azure
    • 15.1 Crear un App Service en Azure
    • 15.2 Generando Artifacts en Azure Pipelines
    • 15.3 Generando el Release en Azure Pipelines al App Service de Azure
    • 15.4 Ejecutando las colecciones de Postman después del release
    • 15.5 Agregando las pruebas de usuario en Azure Pipelines
  • 16. Instalación en Windows Server e IIS
    • 16.1 Instalar IIS en Windows Server
    • 16.2 Instalación del ASP.NET Core Module/Hosting Bundle
    • 16.3 Crea el Sitio Web en IIS
  • 17. Instalación en Linux
    • 17.1 Creando una máquina virtual linux en Azure
    • 17.2 Habilitando el acceso remoto
    • 17.3 Configura linux para .Net Core
    • 17.4 Instalando mysql
    • 17.5 Instalando Nginx y configurando tu servicio
    • 17.6 Instalando un certificado SSL gratuito con CertBot
    • 17.7 Agregando diferentes subdominios
  • 18. Docker
Powered by GitBook
On this page

Was this helpful?

  1. 9. Seguridad
  2. 9.2 Seguridad basada en roles y usuarios

9.2.2 Consideraciones de seguridad para almacenar tus passwords

¿Cómo guardar passwords de forma segura?

Guardar tus passwords con un Hash y un Salt

Por seguridad no se recomienda guardar los passwords en la base de datos en texto plano o con algún algoritmo que se puede encriptar/desencriptar, una de las formas seguras actuales es mediante un hash.

Un hash es un algoritmo que transforma una cadena en otra cadena con un conjunto fijo de valores, por ejemplo cualquiera de las siguientes palabras produce cadenas hash con el mismo número de caracteres. Se cuentan con diferentes tipos de hash, los mas comunes son MD5, SHA1, SHA256. Estos algoritmos por lo general nos dan un valor único para cada valor, asi sea muy parecida la palabra el hash es muy diferente.

Palabra

Hash

starwars

74fca0325b5fdb3a34badb40a2581cfbd5344187e8d3432952a5abc0929c1246

starwar

8d7f27bfb942125d5071cf24cf1a3aba0f622c7732c4856baf6557f4c524a9b3

startrek

2d4795b5a4b00eb38d1a1db9a90ffd8c8ba2e407b4e51f4271c1e4821064b04b

123

a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3

Existen tablas arcoíris (rainbow) similar a la anterior donde se muestran los hash y las palabras que los originan, entonces si un hacker obtiene acceso a tu base de datos podría encontrar el password de tus usuarios buscando el hash en las tablas rainbows.

Para agregar mas seguridad se suele utilizar un salt, el cual es una cadena aleatoria que se agrega al password, de esta manera los password de los usuarios no estarían disponibles en estas tablas arcoíris. Se recomienda utilizar un salt diferente para cada password lo cual hará mas difícil a un hacker, obtener el password. También si al campo de tu tabla donde vas a guardar el salt, o semilla, un hacker podría intuir que tu columna salt o semilla es la que tiene precisamente el salt, por lo tanto se recomienda utilizar cualquier otro campo como valor1, adicional1, etc.

No permitas que los usuarios elijan password comunes

También los hackers cuentan con listas de password y usuarios mas comunes, por ejemplo prueban que exista un usuario admin, o administrador, el cual por lo general es el que tiene todos los permisos de tu sistema, entonces buscan obtener el usuario con el id 1 el cual por lo general es tu usuario admin, o buscan algún usuario que se llame admin.

Existen programas donde le pones el nombre de un dominio y te regresa la lista de todos los correos para ese dominio, asi también pueden intentar adivinar los correos de los usuarios administradores.

Una forma de mantener mas seguro tus usuarios y contraseñas es incluir una lista negra de passwords que es la lista de password mas comunes, y cada vez que un usuario se registre y quiera utilizar algún password común como starwars, startrek, 123, decirle al usuario que es un password demasiado común que elija un password no tan común.

No utilices usuarios con el nombre admin o administrador, o con contraseñas fáciles como 12345, starwars. Incluye una lista negra de password no permitidos.

Bloquea el acceso a tus usuarios tras varios intentos incorrectos.

Otro de los ataques mas comunes de los hackers es el ataque de fuerza bruta en el cual los hackers mediante programación intentan iniciar sesión con combinaciones de passwords y nombres de usuarios comunes.

Una forma de prevenir este tipo de ataque es bloquear al usuario tras 3 intentos incorrectos del usuario, enviando un código de desbloqueo ya sea al celular registrado o al correo registrado del usuario. Así el usuario puede darse cuenta si alguien esta intentando adivinar su password.

Tras 3 intentos incorrectos de usuario y contraseña puedes bloquear el acceso y mandar un código de desbloqueo por correo o por sms.

Otra forma común para limitarlo es mediante captcha el cual son letras aleatorias que se envían junto con el usuario y contraseña.

Bloquea el acceso a tus usuarios si inicia sesión de otro país y/o dispositivo

Otra forma de saber si un hacker ha obtenido tu usuario y password, es que cada vez que un usuario inicia sesión guardes los datos de donde inició sesión por ejemplo la IP, con la IP puedes obtener la ciudad de donde inició sesión, esta conversión no es 100% segura pero si te da una ciudad cercana a la ciudad de donde inicias sesión. También puedes guardar los datos del navegador aunque estos se pueden suplantar fácilmente, puedes bloquear al usuario si inicia sesión de una ubicación, navegador diferente.

Existen bases de datos gratuitas donde te dan la ip y la ciudad, por ejemplo:

O puedes utilizar un servicio REST gratuito el cual esta limitado a 1,000 peticiones diarias

Puedes bloquear al usuario cuando inicia sesión en otro dispositivo y/o ciudad.

Previous9.2.1 Creando nuestra tabla roles e insertando los roles principalesNext9.2.3 Creando las tablas para manejar la seguridad

Last updated 2 years ago

Was this helpful?

Free IP Geolocation DatabaseIP2Location
Logo
Free IP Address Geolocation API - Find country, city, ISP with IPLocate.io
Logo