Autenticación API
Descripción
Componente que permite a sistemas, servicios o aplicaciones externas identificarse ante el sistema para consumir recursos o funcionalidades. A diferencia de la autenticación de usuarios humanos, este proceso ocurre automáticamente entre sistemas sin intervención manual, utilizando credenciales específicas como claves API, tokens de acceso o certificados digitales. Su propósito es garantizar que solo sistemas autorizados puedan acceder a los endpoints y recursos del sistema.
Capacidades mandatorias
Capacidades mandatorias
- No presenta interfaz gráfica; todo el proceso ocurre mediante llamadas programáticas (HTTP headers, parámetros)
- Utiliza credenciales específicas para sistemas (API keys, tokens OAuth, certificados TLS/mTLS)
- Valida la identidad del sistema o servicio cliente antes de permitir el acceso a recursos del servidor
Capacidades adicionales
Capacidades adicionales
- Rate limiting / Cuotas por cliente: restringe la cantidad de solicitudes que un cliente autenticado puede realizar en un intervalo de tiempo, protegiendo el sistema de abusos o sobrecargas
- Auditoría de peticiones: registra cada solicitud autenticada con identificación del cliente, recurso accedido y resultado, permitiendo trazabilidad y análisis posterior
- Rotación automática de credenciales: renueva tokens o claves periódicamente, reduciendo el impacto de credenciales comprometidas
Delimitaciones
Qué no es
- No maneja la creación o gestión de las credenciales API — eso corresponde a un Mantenedor especializado
- La autenticación no implica autorización sobre recursos específicos — eso corresponde a Autorización
- No define ni implementa los endpoints o servicios que serán consumidos; únicamente verifica la identidad del consumidor
Flujo de información
Entrada
Credenciales del sistema cliente (API key, token OAuth, certificado) enviadas en headers HTTP o parámetros
→
Salida
Token de sesión válido para posteriores requests o rechazo de acceso
Modalidades
- API Key: clave estática asociada al sistema consumidor, enviada en cada request
- OAuth 2.0: protocolo que emite tokens de acceso temporal tras autenticación inicial
- JWT (JSON Web Tokens): tokens autofirmados que contienen información del sistema y su validez
- mTLS (Mutual TLS): autenticación mediante certificados digitales bilaterales
- HMAC / Signature: firma criptográfica de requests utilizando secretos compartidos
Dependencias típicas
- Mantenedor de credenciales (creación y administración de claves y certificados de sistemas autorizados)
- Repositorio donde se almacenan las credenciales registradas (Base de Datos)
- Gestor de tokens (sistema que emite y valida tokens de sesión como JWT)
- End-point (API) (componente que expone los servicios o funcionalidades que serán consumidos una vez autenticado el sistema)
Ejemplos
OAuth 2.0 — aplicación que obtiene un token de acceso de Google para consumir la API de Google Drive
Mapeo al Tablero Digital
Entradas ManualesNo
Entradas AutomáticasSiempre
Conceptos de DatosSiempre
Salidas por DemandaNo
Salidas AutomáticasNo
Procesos AutónomosOpcional
| Sección | Vínculo | Observación |
|---|---|---|
| Entradas Manuales | No | — |
| Entradas Automáticas | Siempre | Recepción de solicitudes de autenticación con credenciales desde sistemas externos. |
| Conceptos de Datos | Siempre | Sistema cliente registrado, credenciales (API key, certificado), tokens emitidos. |
| Salidas por Demanda | No | — |
| Salidas Automáticas | No | — |
| Procesos Autónomos | Opcional | Aplicación de políticas de rate limiting y registro de auditoría de peticiones, cuando esas capacidades están presentes. |
Ejemplo de Tablero Digital
Tablero Digital de la Autenticación API con tarjetas de ejemplo