Curso· Cargando…
Lo que el curso de API HTTP dejó pendiente: autenticación real, observabilidad mínima, deploy en producción y operar la base de datos sin pánico cuando aparezcan los primeros usuarios.
¿Cómo guardo identidades y opero mi API sin que un leak o un despliegue sea una catástrofe cuando lleguen los primeros usuarios?
Eres el dev responsable de un servicio en producción que va a recibir a sus primeros usuarios reales.. Tu API funciona pero está cruda: sin auth segura, sin forma de saber qué pasa cuando algo falla y sin un plan para operar la base de datos sin pánico.
Al finalizar, podrás almacenar contraseñas de usuarios con bcrypt (cost factor 12 como mínimo en 2026) o Argon2id (m=64 MB, t=3, p=1 como punto de partida), verificarlas en el endpoint de login en tiempo constante, ajustar el cost factor cada año frente a la potencia del hardware, y explicar — citando Provos & Mazières (1999) y Biryukov et al. (2015) — por qué SHA-256 o MD5 son inaceptables para contraseñas y por qué un atacante con la base de datos filtrada no puede revertir un hash bien construido en un plazo razonable.
Al finalizar, podrás decidir entre sesiones server-side (stateful) y JSON Web Tokens (stateless) para un caso concreto aplicando un árbol de decisión de cinco preguntas (revocación, escalado, cliente, credencial, confianza), explicar los trade-offs reales de cada mecanismo en términos de revocación inmediata, coste por petición y superficie de ataque, configurar correctamente los atributos Secure / HttpOnly / SameSite de una cookie según RFC 6265, y descartar el anti-patrón de almacenar tokens largos en localStorage justificándolo en términos de XSS y RFC 8725.
Entregas: Una API desplegada y en repo Git con: autenticación real (sesiones/JWT + OAuth con PKCE), recuperación de contraseña sin agujeros, observabilidad mínima (logs estructurados + Sentry + healthchecks) y un runbook de operación con una migración sin downtime y un restore probado desde backup.
Se evalúa
Autenticación real
Fundamentos + práctica: del cero a login real con hash, decisión sesiones vs JWT, recuperación sin agujeros y OAuth (Google/GitHub, PKCE).
Observabilidad mínima
Práctica guiada: instrumentar la API con logs estructurados (pino), errores a Sentry, healthchecks/readiness y las métricas básicas del día 1.
Deploy y operar la DB
Proyecto autónomo: deploy en Railway/Fly, migraciones sin downtime (Expand-Contract), backups y un restore real, y señales de tráfico real.