Autenticación - Fidi X Developer Preview

Introducción

Para garantizar una integración segura y confiable, FIDI X protege todas sus APIs mediante un mecanismo de autenticación estándar, basado en tecnologías ampliamente adoptadas en la industria financiera.

El objetivo de esta primera versión es verificar la identidad de quien consume las APIs, asegurando que cada solicitud provenga de un cliente, sistema o aplicación previamente autenticada.

🧩 ¿Cómo funciona la autenticación en FIDI X?

FIDI X utiliza un modelo de autenticación centralizado, apoyado en un proveedor de identidad externo y tokens de acceso seguros.

El proceso general es el siguiente:

El cliente se autentica contra el proveedor de identidad.

Se obtiene un Access Token.

El token se envía en cada llamada a las APIs de FIDI X.

FIDI X valida el token antes de procesar la solicitud.

🔑 Tecnologías Utilizadas

La autenticación en FIDI X se basa en los siguientes estándares:

OAuth 2.0: protocolo para la obtención de tokens de acceso.

OpenID Connect (OIDC): extensión de OAuth 2.0 para identidad.

JWT (JSON Web Token): formato seguro del token.

Estos estándares permiten una integración sencilla, segura y compatible con múltiples lenguajes y plataformas.

🔐 Proveedor de Identidad

El proveedor de identidad es responsable de:

Autenticar aplicaciones, servicios o usuarios.

Emitir tokens de acceso firmados (JWT).

Gestionar clientes OAuth 2.0.

Publicar claves públicas para validación de tokens.

🔁 Flujos de Autenticación Soportados

1️⃣ Client Credentials (Recomendado)

Este es el flujo principal para integraciones con FIDI X.

Está diseñado para:

Integraciones backend a backend.

Partners que consumen las APIs desde sus sistemas.

Procesos automáticos o servicios.

Cómo funciona:

El cliente solicita un token al proveedor de identidad usando su client_id y client_secret.

El proveedor valida las credenciales.

Se emite un Access Token.

El cliente utiliza el token para consumir las APIs de FIDI X.

Este flujo no involucra usuarios finales.

2️⃣ Authorization Code + PKCE (Opcional)

Este flujo se utiliza únicamente cuando existe interacción directa con usuarios (por ejemplo, portales o backoffice).

Características:

Autenticación interactiva.

Redirección al proveedor de identidad.

Emisión de token tras login exitoso.

📌 Este flujo es opcional y solo se habilita para clientes que lo requieran.

📥 Uso del Token en las APIs

Todas las llamadas autenticadas a FIDI X deben incluir el token en el siguiente header HTTP:

Sin este header, la solicitud será rechazada.

🔍 Validación del Token

Antes de procesar una solicitud, FIDI X valida el token recibido.

En esta versión se verifica:

Firma del token.

Fecha de expiración.

Emisor del token.

Audiencia esperada.

📌 La validación es local y automática, sin llamadas adicionales al proveedor de identidad.

⏱️ Vigencia de los Tokens

Tipo de Token	Descripción
Access Token	Token JWT utilizado para consumir las APIs
Duración	Corta (entre 5 y 15 minutos)
Renovación	Mediante nueva autenticación
Revocación	Por expiración del token

🛡️ Recomendaciones de Seguridad para Clientes

Para una integración segura, se recomienda:

Utilizar siempre HTTPS.

Proteger el client_secret y no exponerlo públicamente.

No almacenar tokens en logs o repositorios.

Renovar los tokens cuando expiren.

Rotar credenciales periódicamente.

✅ Beneficios para el Cliente

Integración simple y estandarizada.

Seguridad alineada a buenas prácticas fintech.

Bajo acoplamiento técnico.

Preparación para futuras capas de seguridad.

# 🔐 Autenticación – FIDI X (v1)

Introducción#

🧩 ¿Cómo funciona la autenticación en FIDI X?#

🔑 Tecnologías Utilizadas#

🔐 Proveedor de Identidad#

🔁 Flujos de Autenticación Soportados#

1️⃣ Client Credentials (Recomendado)#

2️⃣ Authorization Code + PKCE (Opcional)#

📥 Uso del Token en las APIs#

🔍 Validación del Token#

⏱️ Vigencia de los Tokens#

🛡️ Recomendaciones de Seguridad para Clientes#

✅ Beneficios para el Cliente#