Autenticación
AM maneja la verificación de credenciales, el hashing de contraseñas y los magic links para que puedas enfocarte en la lógica de tu app.
Elige los métodos que se ajusten a tus usuarios: contraseñas para entornos empresariales o magic links para apps de consumo.
Métodos de autenticación
Email + Contraseña
Credenciales hasheadas con PBKDF2. Los usuarios se registran con email y contraseña, luego se autentican con los mismos.
User ──▶ Email + Password ──▶ PBKDF2 Verify ──▶ Issue TokensMagic Links
Autenticación sin contraseña mediante enlaces de un solo uso. Los usuarios hacen clic en el enlace para autenticarse.
Restablecimiento de contraseña
Recuperación segura cuando los usuarios olvidan sus credenciales:
- El usuario solicita reset via
/auth/send-password-reset - Se envía un token de tiempo limitado al email verificado
- El usuario establece nueva contraseña via
/auth/reset-password
Duración de tokens
| Token | Por defecto | Propósito |
|---|---|---|
| Access Token | 1 hora | Autorización de API |
| Refresh Token | 14 días | Obtener nuevos access tokens |
| CSRF Token | Sesión | Prevenir ataques cross-site |
Las duraciones son configurables por cliente.
Seguridad
- Hashing PBKDF2: Almacenamiento de contraseñas estándar
- Rate Limiting: Previene ataques de fuerza bruta
- Protección CSRF: Requerida para solicitudes que modifican estado
- Cookies seguras: Opciones HttpOnly, Secure, SameSite