Todas las formas de iniciar sesión
Contraseña, sin contraseña, social, clave de acceso, enlace mágico, frase de recuperación. Tus usuarios eligen el método en el que confían — tú obtienes una sesión unificada.
Correo + contraseña
Hash Argon2id, puntuación de robustez con zxcvbn, comprobación de filtraciones con HaveIBeenPwned, historial de contraseñas configurable.
Claves de acceso / WebAuthn
Claves de hardware FIDO2 y autenticadores biométricos con atestación directa y autocompletado de Conditional UI.
Enlaces mágicos
Inicio de sesión por correo sin contraseña con un clic. TTL configurable, límite de tasa por correo, registro opcional para nuevos usuarios.
OAuth social (PKCE)
Google, GitHub, Apple con PKCE S256. 2FA obligatoria en cada inicio de sesión federado posterior.
Frase de recuperación
Frase mnemónica BIP-39 (12 o 24 palabras) con frase de contraseña opcional. Resistente al cómputo cuántico con entropía de 256 bits.
Flujo de dispositivo (RFC 8628)
Inicia sesión en televisores, herramientas de línea de comandos y dispositivos IoT con un código corto y legible.
Defensa en profundidad
Añade segundos factores sobre cualquier método principal. Obligatorio para el inicio de sesión federado, opcional en el resto, configurable por política.
TOTP
Google Authenticator, Authy y cualquier app RFC 6238.
OTP por correo
Código de 6 dígitos al correo verificado, TTL de 10 minutos.
OTP por SMS
Mediante Twilio Verify o en modo de mensaje directo.
Códigos de respaldo
8 códigos de un solo uso en formato XXXX-XXXX, con hash SHA-256.
Post-cuántico, la privacidad primero
Creado para la era cuántica. Cada sesión, token y secreto se protege con algoritmos que resisten ataques tanto clásicos como cuánticos.
Sesiones ML-DSA-44
Firmas digitales post-cuánticas en cada sesión. Verificadas al reanudar; las sesiones con falsificación detectada se revocan al instante.
AES-256-GCM en reposo
Secretos TOTP, tokens OAuth, claves PQC, contraseñas LDAP — todo cifrado con AES-256-GCM antes de almacenarse.
Privacidad por pares
Cada app recibe un identificador de usuario único y específico de esa app. Las apps no pueden correlacionar usuarios entre servicios.
Detección adaptativa de amenazas
Puntuación de riesgo con ML: nueva IP, nuevo dispositivo, horas inusuales, detección de ráfagas. Refuerzo o bloqueo automático.
Acceso condicional
Lista de permitidos/bloqueados de IP, geobloqueo, CAPTCHA tras N fallos, políticas de acceso a nivel de organización.
Rotación de tokens
Rotación de tokens de actualización con detección de reutilización basada en familias. Prueba de posesión DPoP (RFC 9449).
Federación conforme a estándares
Servidor de autorización OAuth 2.0 completo, proveedor de OpenID Connect, IdP SAML 2.0 y aprovisionamiento SCIM 2.0. No solo compatible — conforme.
OAuth 2.0 / OIDC
Código de autorización + PKCE, client credentials, flujo de dispositivo, intercambio de tokens (RFC 8693), PAR (RFC 9126).
IdP SAML 2.0
SSO, SLO, aserciones firmadas, mapeo de atributos, NameID por pares, protección contra bombas de compresión.
SCIM 2.0
Aprovisionamiento de usuarios y grupos. Operaciones masivas, consultas con filtros, soporte de PATCH, tokens con alcance de organización.
Registro dinámico de clientes
RFC 7591 con límite de tasa y lista blanca de alcances. Política autenticada, de administrador o abierta.
Cierre de sesión por canal trasero
Tokens de cierre de sesión RS256 a cada RP. También se admite el cierre de sesión por iframe en canal frontal.
Claims personalizados
Mapeos de claims por cliente: valores estáticos, campos de usuario, roles. Resueltos al emitir el token.
Todo desde un solo panel
Panel de administración completo, consola de desarrollador, webhooks, registro de auditoría, analíticas y operaciones masivas. Entrega más rápido, depura con más facilidad.
Analíticas en tiempo real
DAU/WAU/MAU, tendencias de inicio de sesión, adopción de 2FA, desglose de métodos de autenticación, tasas de inicios de sesión fallidos.
Auditoría a prueba de manipulaciones
Eventos de auditoría encadenados por hash con vinculación al actor. Cada acción de administración queda registrada; la integridad es verificable.
Webhooks
Cargas firmadas con HMAC-SHA256 para user.created, login, logout, cambio de contraseña y consentimiento OAuth.
Organizaciones
Aislamiento multiinquilino, roles de miembro (propietario/administrador/miembro), incorporación por invitación.
Suplantación
El administrador puede suplantar a usuarios para dar soporte — vinculada a la sesión, registrada en auditoría, revocada automáticamente al cerrar sesión.
SDK
SDK de JavaScript/TypeScript y React con PKCE, ciclo de vida de tokens, errores tipados y cierre de sesión.