L'autenticazione verifica le identità e controlla l'accesso alla piattaforma, coprendo i login degli utenti, le credenziali API, la rotazione dei token e la revoca per mantenere sicuri i dati dei clienti.
L'autenticazione è il processo di verifica che qualcuno sia chi dice di essere prima di concedere l'accesso alla piattaforma. Copre tutto, dall'accesso di un utente sul proprio laptop a un'integrazione lato server che si autentica con una chiave API. Questo approfondimento spiega come la piattaforma gestisce l'autenticazione in modo sicuro — incluso come funzionano i token di accesso, come vengono mantenuti a vita breve per limitare il rischio, come possono essere revocati istantaneamente in caso di emergenza e come le chiavi di sicurezza sottostanti vengono ruotate in modo sicuro nel tempo.
L'autenticazione è uno dei pezzi più critici di qualsiasi piattaforma software. Un fallimento qui — un token trapelato, una credenziale compromessa, una sessione non revocabile — può significare accesso non autorizzato ai dati dei tuoi clienti. Fare questo nel modo giusto è fondamentale per le promesse di sicurezza che fai ai clienti.
Le integrazioni server-to-server utilizzano credenziali client — un ID client e un segreto. Questi funzionano in modo simile a un nome utente e una password, ma sono progettati per un uso programmatico. Ogni token emesso a un client macchina è registrato con l'identità dell'integrazione e l'indirizzo IP da cui proviene.
La piattaforma mantiene un elenco di revoca — un registro veloce e in tempo reale dei token che sono stati esplicitamente invalidati. Ogni validazione del token controlla questo elenco. Se un token è nell'elenco, viene rifiutato immediatamente, indipendentemente dal fatto che altrimenti sarebbe ancora valido. Questo significa:
- Una sessione compromessa può essere terminata istantaneamente da un amministratore
- L'accesso di un dipendente in partenza viene interrotto nel momento in cui il suo account viene disattivato
- Un'integrazione compromessa può essere disabilitata immediatamente
La piattaforma utilizza chiavi crittografiche per firmare i token — un modo per dimostrare matematicamente che un token è stato emesso dalla piattaforma e non è stato manomesso. Queste chiavi devono essere ruotate periodicamente (sostituite con nuove) come migliore prassi di sicurezza.
La rotazione delle chiavi viene gestita con attenzione per evitare di interrompere le sessioni attive:
- Le nuove chiavi vengono pubblicate prima che quelle vecchie scadano
- I token firmati con chiavi vecchie continuano a funzionare durante una finestra di transizione
- Una volta completata la transizione, le chiavi vecchie vengono ritirate
- Gli eventi di rotazione delle chiavi sono registrati e possono attivare avvisi
Dalla dashboard di amministrazione:
- Sessioni attive per utente — e la possibilità di terminare qualsiasi di esse
- Un registro degli eventi di autenticazione recenti: accessi, aggiornamenti di token, tentativi falliti, revoche
- Avvisi per attività sospette (ad es., lo stesso account che accede da due paesi diversi in rapida successione)
Il team sta costruendo:
Questi miglioramenti induriranno significativamente il livello di autenticazione e ti forniranno prove verificabili e testabili dei controlli di sicurezza che prometti ai clienti.