Bootstrap de autenticación y token
La función de arranque de autenticación y token define cómo Inbox Manager acepta la confianza de auth.inbox-manager.com y la aplica a cada solicitud de API.
Le brinda autorización basada en cuenta para que cada llamada se realice para la cuenta y el rol correctos.
Por qué esto importa
Esta característica verifica la identidad y el alcance del token antes de que se ejecuten los controladores comerciales, manteniendo la autorización estricta y predecible. También conserva un límite claro entre la emisión de tokens de dominio de autenticación y los endpoints de Inbox Manager, al mismo tiempo que mantiene las comprobaciones de cuentas y roles consistentes en todas las rutas protegidas.
Flujo central
El cliente inicia sesión en auth.inbox-manager.com, obtiene un token y obtiene un token de cuenta cuando es necesario. Inbox Manager verifica el emisor, la audiencia, la firma y los claims requeridos, luego ejecuta las solicitudes para la cuenta y el rol del token; Los tokens no válidos o incompletos se rechazan antes de que se ejecute la lógica de funciones.
Operaciones
| Operación | Punto final | Objetivo |
|---|---|---|
| Iniciar sesión (externo) | POST https://auth.inbox-manager.com/auth/sign-in | Autenticar al usuario e iniciar el ciclo de vida del token |
| Emisión de token OAuth (externo) | POST https://auth.inbox-manager.com/oauth2/token | Emitir tokens para clientes públicos o backend |
| Emisión de token de cuenta (externa) | POST https://auth.inbox-manager.com/api/accounts/:account_id/token | Emite token con alcance de cuenta para llamadas API |
| Descubrimiento de JWKS (externo) | GET https://auth.inbox-manager.com/.well-known/jwks.json | Obtener claves de firma para la verificación JWT |
| Descubrimiento de OIDC (externo) | GET https://auth.inbox-manager.com/.well-known/openid-configuration | Obtener metadatos OAuth/OIDC para clientes |
| Proxy de suscripción para propietarios | GET /api/subscriptions y relacionado /api/subscriptions* | Ejecuta acciones de suscripción de owner y de plan mediante rutas proxy autorizadas |
Datos clave y estado
| Claim | Rol en Inbox Manager |
|---|---|
uid | Identifica al usuario actuante. |
app | Identifica la identificación de la aplicación en el token. |
acc | Selecciona cuenta para operaciones autorizadas |
role | Restringe las capacidades a nivel de cuenta |
aud | Debe coincidir con la audiencia esperada de Inbox Manager |
iss | Debe coincidir con el emisor del token configurado |
Modos de falla y controles
Las firmas no válidas, las discrepancias entre emisor/audiencia y la falta de claims requeridos provocan un rechazo inmediato en lugar de un comportamiento alternativo implícito. Las discrepancias de token/cuenta en rutas con alcance de cuenta se bloquean para evitar el acceso entre cuentas, y las fallas de dependencia del dominio de autenticación no eluden los requisitos de verificación.
Relacionado
Cuenta, Membresía, 01-auth-and-token-bootstrap, 10-auth-backend-admin-flow.