La autenticación verifica identidades y controla el acceso a la plataforma, abarcando inicios de sesión de usuarios, credenciales de API, rotación de tokens y revocación para mantener los datos de los clientes seguros.
La autenticación es el proceso de verificar que alguien es quien dice ser antes de otorgar acceso a la plataforma. Cubre todo, desde un usuario que inicia sesión en su computadora portátil hasta una integración del lado del servidor que se autentica con una clave API. Esta inmersión profunda explica cómo la plataforma maneja la autenticación de manera segura, incluyendo cómo funcionan los tokens de acceso, cómo se mantienen de corta duración para limitar el riesgo, cómo pueden ser revocados instantáneamente en una emergencia y cómo las claves de seguridad subyacentes se rotan de manera segura con el tiempo.
La autenticación es una de las piezas más críticas de cualquier plataforma de software. Un fallo aquí — un token filtrado, una credencial comprometida, una sesión no revocable — puede significar acceso no autorizado a los datos de sus clientes. Hacer esto bien es fundamental para las promesas de seguridad que usted hace a los clientes.
Las integraciones de servidor a servidor utilizan credenciales de cliente — un ID de cliente y un secreto. Estos funcionan de manera similar a un nombre de usuario y una contraseña, pero están diseñados para uso programático. Cada token emitido a un cliente de máquina se registra con la identidad de la integración y la dirección IP de la que provino.
La plataforma mantiene una lista de revocación — un registro rápido y en tiempo real de tokens que han sido explícitamente invalidados. Cada validación de token verifica esta lista. Si un token está en la lista, se rechaza de inmediato, independientemente de si de otro modo seguiría siendo válido. Esto significa:
- Una sesión comprometida puede ser terminada instantáneamente por un administrador
- El acceso de un empleado que se va se corta en el momento en que su cuenta es desactivada
- Una integración que ha sido comprometida puede ser deshabilitada de inmediato
La plataforma utiliza claves criptográficas para firmar tokens — una forma de probar matemáticamente que un token fue emitido por la plataforma y no ha sido manipulado. Estas claves deben ser rotadas periódicamente (reemplazadas por nuevas) como una mejor práctica de seguridad.
La rotación de claves se maneja cuidadosamente para evitar interrumpir sesiones activas:
- Nuevas claves se publican antes de que las antiguas expiren
- Los tokens firmados con claves antiguas continúan funcionando durante una ventana de transición
- Una vez que la transición está completa, las claves antiguas se retiran
- Los eventos de rotación de claves se registran y pueden activar alertas
Desde el panel de administración:
- Sesiones activas por usuario — y la capacidad de terminar cualquiera de ellas
- Un registro de eventos recientes de autenticación: inicios de sesión, renovaciones de tokens, intentos fallidos, revocaciones
- Alertas por actividad sospechosa (por ejemplo, la misma cuenta iniciando sesión desde dos países diferentes en rápida sucesión)
El equipo está construyendo:
Estas mejoras endurecerán significativamente la capa de autenticación y le darán pruebas verificables y comprobables de los controles de seguridad que promete a los clientes.