Seguridad
La API de integración T-Canaria implementa múltiples capas de seguridad para proteger los datos de las entidades evaluadas y garantizar la integridad de las operaciones.
Capas de seguridad
graph TD
A["Petición entrante"] --> B["TLS/HTTPS"]
B --> C["JWT Bearer"]
C --> D["Verificación de entidad"]
D --> E["Validación de estado"]
E --> F["Validación de datos"]
F --> G["Sanitización"]
G --> H["Operación ejecutada"]| Capa | Descripción |
|---|---|
| TLS/HTTPS | Todas las comunicaciones van cifradas con TLS |
| JWT Bearer | Token de 1 hora obtenido con API Key |
| Verificación de entidad | Cada recurso se verifica contra la entidad del token |
| Validación de estado | Las operaciones de escritura solo se permiten en estados válidos |
| Validación de datos | Todos los datos de entrada se validan antes de procesarse |
| Sanitización | Textos sanitizados contra XSS (eliminación de tags HTML) |
Autenticación
La API usa un flujo de dos pasos:
- Intercambio de API Key por JWT:
POST /authcon la API Key - Uso del JWT en cada petición: Cabecera
Authorization: Bearer <token>
El token JWT expira en 1 hora. Puede renovarse con POST /auth/refresh antes de que expire.
Protección del token
El token JWT contiene el ID de la entidad y se usa para autorizar todas las operaciones. Protéjalo como una credencial sensible. No lo incluya en logs, URLs o código fuente.
Aislamiento de datos
Cada entidad solo puede acceder a sus propios datos:
- Las declaraciones de otras entidades devuelven
404(no403) - Los IDs de usuarios de otras entidades se rechazan en escritura
- Los documentos de otras declaraciones no son accesibles
Secciones de seguridad
| Sección | Descripción |
|---|---|
| Validaciones por endpoint | Tabla completa de validaciones |
| Restricciones por estado | Qué se puede hacer en cada estado |
| Códigos de error | Formato RFC 7807 y todos los códigos |