Autenticación

Moveat usa mecanismos distintos según el consumidor.

Web auth

La web usa sesiones opacas HTTP-only. Después de login/signup, Platform crea una sesión y la envía como cookie. El frontend no lee el token directamente.

Por qué sesiones opacas

Permiten revocar o expirar sesiones server-side. El navegador solo tiene un identificador aleatorio, no claims completos.

Google auth

El frontend obtiene un Google ID token. Platform lo verifica contra el Google client ID configurado y crea o vincula el usuario local.

Auth interna

Agent autentica contra Platform con la variable de entorno del token interno. No es una sesión de usuario; identifica al servicio.

Boundaries

Caller	Mecanismo
Browser	Cookie HTTP-only.
Agent	Internal bearer/service token.
Operaciones	Grafana/Komodo auth.
Swagger	Basic auth de docs.

Operaciones sensibles

Account deletion, cambio de email/password, unlink de canales y export de datos requieren autorización fuerte y protección CSRF cuando hay cookies.

​Autenticación

​Web auth

​Por qué sesiones opacas

​Google auth

​Auth interna

​Boundaries

​Operaciones sensibles