Demo desplegada
Aplicación cliente protegida con OAuth y JWT
La autenticación se delega al servidor de identidad. Esta aplicación recibe tokens y valida el JWT.
Endpoint público
GET /health
Endpoint protegido
GET /api/profile
Callback OAuth
GET /callback
Servidor IdP
https://miniidp-idp.duckdns.org
Flujo principal
Authorization Code Flow
La app cliente no recibe contraseñas. El login ocurre en el IdP y el cliente solo consume tokens.
?
Ver pasos del flujo
Flujo implementado
- La app redirige a /oauth/authorize.
- El IdP valida correo, contraseña y TOTP.
- El IdP devuelve un authorization code al callback.
- La app intercambia el code por tokens.
- La app valida el JWT usando JWKS público.
- El refresh token puede rotarse.