Saltar al contenido principal

Autenticación API

Autenticación máquina-a-máquina · API authentication · Machine-to-machine (M2M) authentication

Ejemplos

Diagrama del flujo abstracto de OAuth 2.0: el cliente obtiene un token de acceso del servidor de autorización para consumir un recurso protegido en nombre del usuario.

Descripción

Componente que permite a sistemas, servicios o aplicaciones externas identificarse ante el sistema para consumir recursos o funcionalidades. A diferencia de la autenticación de usuarios humanos, este proceso ocurre automáticamente entre sistemas sin intervención manual, utilizando credenciales específicas como claves API, tokens de acceso o certificados digitales. Su propósito es garantizar que solo sistemas autorizados puedan acceder a los endpoints y recursos del sistema.

Capacidades mandatorias

Capacidades mandatorias
  • No presenta interfaz gráfica; todo el proceso ocurre mediante llamadas programáticas (HTTP headers, parámetros)
  • Utiliza credenciales específicas para sistemas (API keys, tokens OAuth, certificados TLS/mTLS)
  • Valida la identidad del sistema o servicio cliente antes de permitir el acceso a recursos del servidor

Capacidades adicionales

Capacidades adicionales
  • Rate limiting / Cuotas por cliente: restringe la cantidad de solicitudes que un cliente autenticado puede realizar en un intervalo de tiempo, protegiendo el sistema de abusos o sobrecargas
  • Auditoría de peticiones: registra cada solicitud autenticada con identificación del cliente, recurso accedido y resultado, permitiendo trazabilidad y análisis posterior
  • Rotación automática de credenciales: renueva tokens o claves periódicamente, reduciendo el impacto de credenciales comprometidas

Delimitaciones

Qué no es
  • No maneja la creación o gestión de las credenciales API — eso corresponde a un Mantenedor especializado
  • La autenticación no implica autorización sobre recursos específicos — eso corresponde a Autorización
  • No define ni implementa los endpoints o servicios que serán consumidos; únicamente verifica la identidad del consumidor

Flujo de información

Entrada

Credenciales del sistema cliente (API key, token OAuth, certificado) enviadas en headers HTTP o parámetros

Salida

Token de sesión válido para posteriores requests o rechazo de acceso

Modalidades

  • API Key: clave estática asociada al sistema consumidor, enviada en cada request
  • OAuth 2.0: protocolo que emite tokens de acceso temporal tras autenticación inicial
  • JWT (JSON Web Tokens): tokens autofirmados que contienen información del sistema y su validez
  • mTLS (Mutual TLS): autenticación mediante certificados digitales bilaterales
  • HMAC / Signature: firma criptográfica de requests utilizando secretos compartidos

Dependencias típicas

  • Mantenedor de credenciales (creación y administración de claves y certificados de sistemas autorizados)
  • Repositorio donde se almacenan las credenciales registradas (Base de Datos)
  • Gestor de tokens (sistema que emite y valida tokens de sesión como JWT)
  • Servicio Expuesto (componente que publica los servicios o funcionalidades que serán consumidos una vez autenticado el sistema)

Mapeo al Tablero Digital

Actualización ManualNo
Actualización AutomáticaSiempre
Conceptos de DatosSiempre
Salidas por DemandaNo
Salidas AutomáticasNo
Procesos AutónomosSiempre
SecciónVínculoObservación
Actualización ManualNo
Actualización AutomáticaSiempreRecepción de solicitudes de autenticación con credenciales desde sistemas externos.
Conceptos de DatosSiempreSistema cliente registrado, credenciales (API key, certificado), tokens emitidos.
Salidas por DemandaNo
Salidas AutomáticasNo
Procesos AutónomosSiempreLa validación de la identidad del cliente es el proceso autónomo mandatorio. Aplicación de políticas de rate limiting y registro de auditoría de peticiones cuando esas capacidades están presentes.

Ejemplo de Tablero Digital

Actualización Manual
Conceptos de Datos
Token
Cliente
Salidas por Demanda
Actualización Automática
Recepción de Solicitud OAuth
Procesos Autónomos
Validación de Credenciales del Cliente
Auditoría
Limitación de Tasa
Salidas Automáticas