La autenticacion esta llena de siglas. Explicamos los terminos mas importantes de forma clara y practica.
El estandar actual para autorizacion. Es como una llave de hotel: permite entrar a ciertas habitaciones (scopes), pero no necesariamente dice quien eres. La version 2.1 consolida buenas practicas y elimina flujos inseguros.
Una capa sobre OAuth 2.0 centrada en la identidad. OAuth dice "puedes entrar", OIDC dice "esta cuenta de login ha sido autenticada". Entrega el id_token con datos del usuario. Tuurio actua como proveedor OIDC conforme a estandares.
Se pronuncia: Pixie
Mecanismo de seguridad que evita el abuso de codigos de autorizacion interceptados. La app crea un secreto, envia primero el hash y luego presenta el secreto original al intercambiar token. Obligatorio para apps moviles y SPAs.
Autenticacion multifactor: algo que sabes (password) y algo que tienes (telefono o security key). Tuurio soporta TOTP y WebAuthn.
Formato compacto para transmitir claims de forma segura. Un JWT tiene header, payload y firma. Tuurio firma criptograficamente para que tu backend valide autenticidad sin consultar base de datos.
Clave de larga vida para obtener nuevos access tokens sin forzar nuevo login. Debe almacenarse con seguridad y puede revocarse por admin o usuario.
El fin de los passwords. Passkeys usan biometria del dispositivo con criptografia de clave publica. No se transmite ningun secreto compartido. Tuurio soporta passkeys out of the box.
Consulta nuestra documentacion para developers para la implementacion tecnica.
Ir a la guia developer