4 Métodos de Autenticación Explicados: Basic, Tokens, OAuth2 y SSO | Fazt.dev

🔐 Las 4 Formas Más Comunes de Autenticación en Aplicaciones Modernas

La autenticación es una de las piezas más importantes de cualquier sistema. Da igual si estás construyendo un sitio web, una API móvil o una plataforma empresarial: tarde o temprano tendrás que decidir cómo un usuario ingresa a tu aplicación.

Pero aquí viene el detalle: no todas las aplicaciones usan el mismo método de autenticación. Algunas usan usuario y contraseña, otras utilizan tokens, otras confían en Google o Facebook para iniciar sesión, y algunas implementan sistemas más avanzados como SSO.

En este artículo encontrarás una explicación clara de las cuatro formas más comunes de autenticarse, cuándo se usan y cómo funcionan internamente.

⭐ 1. Basic Authentication (El método más simple)

Este es uno de los métodos de autenticación más antiguos y sencillos. Funciona así:

El usuario escribe su correo y contraseña.
El cliente combina ambos valores:
```
correo:contraseña
```
Ese texto se convierte a Base64.
El cliente envía ese valor en cada petición:
```
Authorization: Basic <token_base64>
```

El servidor decodifica el Base64, obtiene las credenciales, valida en la base de datos y responde.

🔴 Desventajas de Basic Auth

Base64 no es cifrado, solo codificación.
Se envían credenciales en cada request.
No pueden invalidarse temporalmente.
Depende totalmente de HTTPS para no ser inseguro.

👉 Hoy se utiliza solo en API internas, sistemas legacy o comunicaciones backend-backend muy controladas.

⭐ 2. Token-Based Authentication (JWT y otros)

Este es el estándar moderno en aplicaciones web y móviles.

🔁 ¿Cómo funciona?

El usuario envía usuario y contraseña al servidor.
El servidor valida en la base de datos.
El servidor genera un token (usualmente JWT).
El cliente almacena ese token (cookies, localStorage, etc.).
En cada petición, el cliente envía:
```
Authorization: Bearer <token>
```

El servidor valida el token y, si es correcto, permite acceso.

🟢 Ventajas

No se envían contraseñas en cada petición.
El servidor no necesita almacenar sesión: es stateless.
El token puede contener datos útiles (id de usuario, email, roles).

🔴 Problema principal

Los tokens no se pueden invalidar fácilmente.
Si alguien los roba, puede usarlos hasta que expiren.

Este problema dio origen al siguiente sistema…

⭐ 3. Access Tokens + Refresh Tokens (Modelo moderno y seguro)

Para mejorar seguridad y experiencia de usuario, muchos sistemas combinan:

Access Token → corto (minutos u horas)
Refresh Token → largo (días o semanas)

🔁 Flujo típico

El usuario inicia sesión.
El servidor devuelve:
- Access token
- Refresh token
El access token se usa para todas las peticiones.
Cuando expira, el cliente usa el refresh token para pedir uno nuevo.
El servidor invalida el refresh usado y genera uno nuevo.
Los refresh tokens suelen almacenarse en una base de datos o Redis.

🟢 Beneficios

Reduce el tiempo de exposición si un token se roba.
Permite mantener sesiones activas por semanas sin volver a logear.
Se pueden revocar sesiones desde el servidor.
Permite detectar usos sospechosos (IP, navegador, ubicación).

Este método es el más recomendado hoy para APIs, apps móviles, SPAs y microservicios.

⭐ 4. OAuth 2.0 (Login con Google, Facebook, Apple…)

OAuth2 permite que el usuario no use contraseña propia, sino que delegue la autenticación a un proveedor externo como:

Google
Facebook
Apple
GitHub
Microsoft

🔁 Flujo simplificado

El usuario hace clic en “Iniciar sesión con Google”.
Tu aplicación redirige a Google.
Google pide autorización al usuario.
Si el usuario acepta, Google redirige de vuelta a tu servidor con un authorization code.
Tu servidor intercambia ese código por:
- Access token
- Refresh token
Con ese access token puedes pedir datos del usuario (correo, nombre, imagen).

🟢 Ventajas

Tu app nunca maneja la contraseña del usuario.
El usuario puede revocar el acceso cuando quiera.
Muy útil para onboarding rápido.
Estándar en apps SaaS y plataformas modernas.

⭐ 5. SSO (Single Sign-On) e Identity Providers

SSO permite que, iniciando sesión una sola vez, el usuario esté autenticado en múltiples servicios.

Ejemplo:
Si inicias sesión en Gmail → estás autenticado también en Drive, Calendar, YouTube, etc.

🧠 ¿Cómo se logra?

A través de un Identity Provider (IdP), como:

Google Identity
Azure Active Directory
Okta
Auth0

Este proveedor valida tokens, mantiene sesiones globales y permite que múltiples aplicaciones confíen en una misma autenticación.

Protocolos comunes

OAuth2 + OpenID Connect (moderno)
SAML (usado en empresas y sistemas legacy)
Kerberos (sistemas internos corporativos)

🧩 ¿Qué método deberías elegir?

Depende del tipo de proyecto:

Necesidad	Método recomendado
Simplicidad / sistemas internos	Basic Auth
Web moderna / API / móvil	Tokens (Access + Refresh)
Login social	OAuth2 + OIDC
Múltiples apps conectadas	SSO con IdP

En la práctica:

La mayoría de apps modernas usan Access + Refresh Tokens y ofrecen OAuth2 como opción alternativa.

🏁 Conclusión

La autenticación es un tema esencial en el desarrollo moderno.
Aunque existen variaciones y extensiones, casi todos los métodos derivan de estas cuatro bases:

Basic Authentication
Token-Based Authentication
Access + Refresh Tokens
OAuth 2.0 / SSO

Entenderlas te permitirá detectar patrones, diseñar sistemas seguros y elegir la mejor solución para tu proyecto.