Porque la seguridad es algo que realmente nos importa, aunque sabemos que no somos la NSA, intentamos asegurar nuestro servicio, para eso disponemos de distintos mecanismos que se describen a continuación.3.1. Autenticación#
Todos los enpoints de Febos requieren, como mínimo, 1 parámetro obligatorio que es enviado por HEADER (si no sabes que esto, puedes encontrar la descripción más adelante). Éste parámetro, que se llama token, consiste en una cadena de texto compuesta de letras y números que parecieran al azar, pero no lo son, es un texto que Febos puede identificar y leer información de él, de tal forma que puede identificar quien esta ejecutando la acción. Éste token es único, y es generado a nombre de un usuario desde la web de Febos (portal.febos.cl). Un usuario puede crear cuantos tokens deseé, asi como tambien puede eliminarlos. La recomendación es crear un token por cada aplicación que accederá programáticamente a Febos. Es importante saber que el token queda asociado a un usuario específico, es decir, todas las acciones realizadas con esos tokens, quedarán realizadas bajo responsabilidad del usuario dueño de los tokens.Si eres un partner, lo usual es que tu usuario tenga permiso para todas las empresas que son tus clientes, en tal caso, la recomendación es tener 1 token por cada cliente, de tal forma que si un token se ve expuesto o vulnerado (que un token haya sido divulgado sin concentimiento, por ejemplo) no afecte al resto de tus clientes.3.2. Registro#
En Febos registramos cada llamada que se hace a la API, registramos que parámetros fueron enviados, que respondio Febos, quién hizo la llamada, en que empresa, e incluso desde que IP. Estos registros nos permiten analizar cualquier eventualidad ya sea de negocio o seguridad que se pudiese dar. Adicionalmente nos permite pode bloquear solicitudes desde ciertas IP, o restringir el uso de la API, para ciertos tokens, en caso de que un cliente requiera de mayor seguridad.3.3. Permisos#
Cada usuario (por ende cada token, ya que hereda todo lo del usuario al que pertenece) tiene asignado ROLES, asi como cada ROL tiene asginado PERMISOS. El resultado final es un conjunto de permisos asociados a un usuario en particular. Por otro lado, cada Endpoint de la api requiere de un permiso en particular para ser utilizado, es decir, si un endpoint requiere un permiso A000 y el usuario no tiene asignado ningún rol que posea dicho permiso, al consumir la API que requiera ese permiso, tendra como respuesta un error indicando que no tiene permisos para ejecutar dicha acción.3.4. Infraestructura#
La tecnología que hay detras de Febos tiene como nombre "Serverless", que traducido al español es algo como "sin servidores". Si bien técnicamente hablando si hay servidores, éstos funcionan de una manera muy particular; solo estan activos durante el tiempo en que son utilizados.Cuando realizas una llamada a la API, un "mini-servidor" es levantado en milisegundos, procesa la llamada a la API, envia la respuesta y luego es desactivado. Esto ocurre con cada llamada, incluso con llamadas en paralelo, en donde si ocurren 10 llamadas en paralelo, 10 miniservidores son levantados en paralelo para responder cada una de las solicitudes. Con esto evitarmos muchos problemas de seguridad y mantenimiento de servidores, pues, al estar cada servidor activo por un par de segundos, es prácticamente imposible vulnerarlos. Modificado en 2025-09-16 19:42:20
