Saltar al contenido principal

Introducción

Autenticación es el proceso de verificar que un usuario es quien dice ser. Responde a la pregunta ¿Quién es el usuario?.

Ejemplo: un usuario ingresa sus credenciales de inicio de sesión para conectarse a la aplicación.

Autorización, también conocida como Control de Accesoes el proceso de determinar qué puede hacer un usuario autenticado. Responde a la pregunta ¿Tiene el usuario el derecho de hacer lo que pide?.

Ejemplo: un usuario intenta acceder a la página de administrador.

Este documento se centra en explicar cómo funciona la autenticación en el B2B de Orbitas y proporciona varios ejemplos de código para comenzar rápidamente. Explicaciones adicionales se encuentran en otras páginas de la documentación.

Los Fundamentos

La robustez del sistema de autenticación en nuestras soluciones B2B ha sido meticulosamente planificada y desarrollada para cumplir con los estándares de seguridad más altos. Este enfoque integral garantiza que nuestra infraestructura de autenticación no solo cumpla, sino que supere los requisitos de las pruebas de seguridad más rigurosas. Nuestro compromiso con la seguridad garantiza la protección integral de los datos y la confianza en nuestras soluciones empresariales.

Soporte de Autenticación
Tipo de AplicaciónAPI, Acceso B2B, Móvil+API
Gestión de EstadoCon estado (Tokens de Sesión), Sin estado (Tokens JWT) 
CredencialesContraseñas, Social 
Almacenamiento de TokenCookies, localStorage, Móvil, etc

Independientemente de la arquitectura que elijas, el proceso de autenticación siempre seguirá el mismo patrón.

Paso 1: el usuario inicia sesión.

En algunas arquitecturas, este paso puede ser delegado a un servicio externo: Google, Auth0, etc.

  1. Verificar las credenciales (correo electrónico y contraseña, nombre de usuario y contraseña, sociales, etc.).
  2. Generar un token (sin estado o con estado).
  3. Devolver el token al cliente (en una cookie, en el cuerpo de la respuesta o en un encabezado).

Paso 2: una vez iniciada la sesión, el usuario sigue autenticado en las solicitudes posteriores.

  1. En cada solicitud, recibir y verificar el token y recuperar el usuario asociado si el token es válido.

Arquitectura de Autenticación

Uso de JSON Web Tokens

Cuando se utiliza autenticación sin estado con JWT, debes gestionar la renovación de tokens después de su expiración por tu cuenta.