Autenticación API
Ejemplos
Descripción
Componente que permite a sistemas, servicios o aplicaciones externas identificarse ante el sistema para consumir recursos o funcionalidades. A diferencia de la autenticación de usuarios humanos, este proceso ocurre automáticamente entre sistemas sin intervención manual, utilizando credenciales específicas como claves API, tokens de acceso o certificados digitales. Su propósito es garantizar que solo sistemas autorizados puedan acceder a los endpoints y recursos del sistema.
Capacidades mandatorias
Capacidades mandatorias
- No presenta interfaz gráfica; todo el proceso ocurre mediante llamadas programáticas (HTTP headers, parámetros)
- Utiliza credenciales específicas para sistemas (API keys, tokens OAuth, certificados TLS/mTLS)
- Valida la identidad del sistema o servicio cliente antes de permitir el acceso a recursos del servidor
Capacidades adicionales
Capacidades adicionales
- Rate limiting / Cuotas por cliente: restringe la cantidad de solicitudes que un cliente autenticado puede realizar en un intervalo de tiempo, protegiendo el sistema de abusos o sobrecargas
- Auditoría de peticiones: registra cada solicitud autenticada con identificación del cliente, recurso accedido y resultado, permitiendo trazabilidad y análisis posterior
- Rotación automática de credenciales: renueva tokens o claves periódicamente, reduciendo el impacto de credenciales comprometidas
Delimitaciones
Qué no es
- No maneja la creación o gestión de las credenciales API — eso corresponde a un Mantenedor especializado
- La autenticación no implica autorización sobre recursos específicos — eso corresponde a Autorización
- No define ni implementa los endpoints o servicios que serán consumidos; únicamente verifica la identidad del consumidor
Flujo de información
Entrada
Credenciales del sistema cliente (API key, token OAuth, certificado) enviadas en headers HTTP o parámetros
→
Salida
Token de sesión válido para posteriores requests o rechazo de acceso
Modalidades
- API Key: clave estática asociada al sistema consumidor, enviada en cada request
- OAuth 2.0: protocolo que emite tokens de acceso temporal tras autenticación inicial
- JWT (JSON Web Tokens): tokens autofirmados que contienen información del sistema y su validez
- mTLS (Mutual TLS): autenticación mediante certificados digitales bilaterales
- HMAC / Signature: firma criptográfica de requests utilizando secretos compartidos
Dependencias típicas
- Mantenedor de credenciales (creación y administración de claves y certificados de sistemas autorizados)
- Repositorio donde se almacenan las credenciales registradas (Base de Datos)
- Gestor de tokens (sistema que emite y valida tokens de sesión como JWT)
- Servicio Expuesto (componente que publica los servicios o funcionalidades que serán consumidos una vez autenticado el sistema)
Mapeo al Tablero Digital
Actualización ManualNo
Actualización AutomáticaSiempre
Conceptos de DatosSiempre
Salidas por DemandaNo
Salidas AutomáticasNo
Procesos AutónomosSiempre
| Sección | Vínculo | Observación |
|---|---|---|
| Actualización Manual | No | — |
| Actualización Automática | Siempre | Recepción de solicitudes de autenticación con credenciales desde sistemas externos. |
| Conceptos de Datos | Siempre | Sistema cliente registrado, credenciales (API key, certificado), tokens emitidos. |
| Salidas por Demanda | No | — |
| Salidas Automáticas | No | — |
| Procesos Autónomos | Siempre | La validación de la identidad del cliente es el proceso autónomo mandatorio. Aplicación de políticas de rate limiting y registro de auditoría de peticiones cuando esas capacidades están presentes. |
Ejemplo de Tablero Digital
Actualización Manual
—
Conceptos de Datos
Token
Cliente
Salidas por Demanda
—
Actualización Automática
Recepción de Solicitud OAuth
Procesos Autónomos
Validación de Credenciales del Cliente
Auditoría
Limitación de Tasa
Salidas Automáticas
—