Flujo de Credenciales de Cliente

Autenticacion Security Notes Jan 6, 2025 JAVASCRIPT

Definition

Imagina que trabajas en una empresa que tiene una cuenta corporativa con un servicio de mensajeria. Cuando necesitas enviar un paquete, no inicias sesion con tu email personal y contrasena - en su lugar, la empresa usa sus credenciales de negocio para acceder a la API de envios. Nadie en la empresa de mensajeria necesita saber que empleado esta enviando el paquete; lo que importa es que tu empresa esta autorizada para usar el servicio. Esa es la esencia del Flujo de Credenciales de Cliente.

El Flujo de Credenciales de Cliente es un metodo de autenticacion OAuth 2.0 disenado para situaciones donde no hay un usuario humano involucrado - solo un sistema informatico hablando con otro. En lugar de una persona escribiendo un nombre de usuario y contrasena, una aplicacion de servidor presenta sus propias credenciales (un client ID y client secret, que son esencialmente un nombre de usuario y contrasena para maquinas) para obtener permiso para acceder a una API. Es autenticacion maquina-a-maquina en su forma mas pura.

Este flujo es perfecto para servicios en segundo plano, trabajos programados, microservicios comunicandose entre si, y cualquier escenario donde la aplicacion misma - no un usuario especifico - necesita acceso a recursos. Piensa en ello como darle a tu aplicacion su propia identidad, separada de cualquier usuario que pueda interactuar con ella. La aplicacion demuestra que es legitima, recibe un token de acceso, y puede entonces hacer llamadas API usando ese token.

Example

Escenario Real 1: Backend de Procesamiento de Pagos Cuando Uber necesita cargar tu tarjeta de credito despues de un viaje, su servicio de pagos habla con la API de Stripe. No hay ningun usuario iniciando sesion durante este proceso - sucede automaticamente en segundo plano. El servicio de pagos de Uber usa sus credenciales de cliente para autenticarse con Stripe, demostrando que realmente es Uber (no algun atacante), y luego procesa el cargo. La transaccion ocurre enteramente entre servidores.

Escenario Real 2: Microservicios en una Plataforma de E-commerce El servicio de inventario de Amazon necesita verificar constantemente con el servicio de precios para asegurar que los productos estan correctamente preciados. Estos dos servicios usan credenciales de cliente para autenticarse entre si. El servicio de inventario presenta sus credenciales al servidor de autenticacion, obtiene un token, y usa ese token para pedir al servicio de precios los precios actuales - todo sin ninguna intervencion humana.

Escenario Real 3: Sincronizacion Nocturna de Datos El sistema de RRHH de una empresa necesita sincronizar datos de empleados con su proveedor de nominas cada noche a las 2 AM. Como ningun humano esta despierto para escribir credenciales, el sistema de RRHH usa sus credenciales de cliente para autenticarse con la API de nominas, descargar actualizaciones y enviar cambios. Todo el proceso corre automaticamente, autenticado de forma segura como el sistema de RRHH mismo.

Escenario Real 4: Gestion de Dispositivos IoT Un fabricante de termostatos inteligentes tiene miles de dispositivos verificando actualizaciones de firmware. Cada flota de dispositivos (no los termostatos individuales, sino el servidor de gestion) usa credenciales de cliente para autenticarse con el servidor de actualizaciones. El servidor demuestra que es el sistema de gestion legitimo y recupera informacion de actualizacion para todos los dispositivos que gestiona.

Analogia

La Tarjeta de Credito Corporativa: Piensa en las credenciales de cliente como una tarjeta de credito de empresa en lugar de una personal. Cuando usas una tarjeta de credito personal, el banco verifica quien ERES tu. Pero una tarjeta de credito corporativa se emite a la empresa misma - no importa que empleado la use; lo que importa es que la empresa es responsable de los cargos. Las credenciales de cliente funcionan de la misma manera: la aplicacion misma es el “cliente”, no ningun usuario individual.

La Membresia de Almacen Mayorista: Costco requiere una tarjeta de membresia para comprar. Como individuo, muestras tu tarjeta personal con tu foto. Pero las empresas tienen membresias de negocio - la empresa misma es el miembro, y cualquier representante autorizado puede usar esa membresia. Las credenciales de cliente son el equivalente API: la aplicacion es un “miembro de negocio” del servicio API.

La Llave de Entrada de Servicio: En un edificio de apartamentos, los residentes tienen llaves para sus unidades individuales. Pero la empresa de mantenimiento tiene un tipo diferente de llave - una que permite a sus vehiculos de servicio entrar al estacionamiento y a su personal acceder a areas de servicios. Esta llave no pertenece a ningun trabajador de mantenimiento individual; pertenece a la empresa misma y otorga acceso para propositos de la empresa.

El Pase de Prensa vs. Credenciales de Medio: Un periodista podria tener un pase de prensa personal para cubrir eventos. Pero los grandes medios de comunicacion tambien tienen credenciales organizacionales que les permiten acceder a areas de prensa, independientemente de que reportero especifico se presente. La organizacion misma esta acreditada, no solo el individuo.

Diagrama

sequenceDiagram
    participant App as Servicio Backend
    participant Auth as Servidor de Autorización
    participant API as Servidor de Recursos

    Note over App,API: Autenticación máquina-a-máquina
(Sin usuario involucrado)

    App->>Auth: 1. POST /token
(client_id + client_secret)
    Note over App,Auth: Llamada directa servidor-a-servidor
Credenciales enviadas de forma segura
    Auth->>Auth: 2. Validar credenciales del cliente
    Auth->>App: 3. Access token
(no se necesita refresh token)

    loop Llamadas API
        App->>API: 4. Petición con Bearer token
        API->>API: 5. Validar token
        API->>App: 6. Recurso protegido
    end

    Note over App: Token expira → Solicitar nuevo token
Sin interacción de usuario requerida

Code Example


// Flujo de Credenciales de Cliente
const getAccessToken = async () => {
  const response = await fetch('https://oauth.provider.com/token', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/x-www-form-urlencoded',
      'Authorization': 'Basic ' + btoa(`${clientId}:${clientSecret}`)
    },
    body: new URLSearchParams({
      grant_type: 'client_credentials',
      scope: 'api:read api:write'
    })
  });

  const { access_token } = await response.json();
  return access_token;
};

// Usar token para llamadas API
const token = await getAccessToken();
const data = await fetch('https://api.example.com/resource', {
  headers: { 'Authorization': `Bearer ${token}` }
});

Notas de Seguridad

SECURITY NOTES
CRITICO - Los client secrets deben almacenarse en bovedas seguras (nunca en codigo, archivos de entorno o control de versiones). Usa solo para comunicacion servidor-a-servidor, nunca en navegadores o apps moviles. Rota los client secrets regularmente (cada 90 dias recomendado). Implementa listas blancas de IP cuando sea posible. Monitorea la filtracion de credenciales en logs o mensajes de error. Usa credenciales separadas para dev/staging/produccion. Implementa limitacion de tasa por cliente. Considera mutual TLS (mTLS) para seguridad adicional. Audita el uso de credenciales de cliente. Revoca credenciales comprometidas inmediatamente. Usa restricciones de scope para limitar capacidades del token.

Estándares y RFCs

Standards & RFCs
1)RFC 6749- [](https://reference.apios.info/es/terms/rfc-6749/) - OAuth 2.0 Authorization Framework (Sección 4.4)
2)RFC 6819- OAuth 2.0 Threat Model and Security Considerations