Aplicaciones móviles con una API

En este escenario, crearemos una API de registro de horas para una empresa ficticia llamada ExampleCo. La API permitirá gestionar las entradas de horas de un empleado o un contratista. También crearemos una aplicación móvil que se utilizará para ver y registrar entradas en la base de datos centralizada de registro de horas mediante la API.

En resumen

Auth0 proporciona autenticación y autorización de API para proteger el acceso a los endpoints de la API (consulte Autenticación y autorización de API)
Para autorizar a un usuario de una aplicación móvil y concederle acceso a la API, Auth0 admite el Flujo de código de autorización con PKCE (Proof Key for Code Exchange) (consulte Proof Key for Code Exchange)
Tanto la aplicación móvil como la API deben configurarse en el Auth0 Dashboard (consulte Configuración de Auth0)
Los permisos de usuario se pueden aplicar mediante Authorization Extension (consulte Configurar Authorization Extension)
La API se protege asegurándose de que se envíe un válido en el encabezado HTTP Authorization al realizar llamadas a la API (consulte Implementar la API)
El SDK de Auth0.Android puede utilizarse para autorizar al usuario de la aplicación móvil y obtener un Token de acceso válido que pueda usarse para llamar a la API (consulte Autorizar al usuario)
La aplicación móvil puede recuperar la información del perfil del usuario decodificando el ID Token (consulte Obtener el perfil del usuario)
Los elementos de la interfaz de usuario pueden mostrarse de forma condicional según el scope que se haya concedido al usuario (consulte Mostrar elementos de la interfaz de usuario de forma condicional según el scope)
La aplicación móvil envía el Token de acceso en el encabezado HTTP Authorization al realizar llamadas a la API (consulte Llamar a la API)
El Token de acceso del usuario de la aplicación móvil puede renovarse para garantizar que no tenga que volver a iniciar sesión durante la sesión (consulte Renovar el token)

La premisa

ExampleCo es una startup de consultoría. Actualmente tiene aproximadamente 100 empleados y además subcontrata varias actividades a contratistas externos. Todos los empleados y contratistas externos deben completar su registro de horas cada semana. La empresa ha desarrollado una aplicación de registro de horas, un escenario que tratamos en Inicio de sesión único para aplicaciones web tradicionales. Los empleados internos usan esta aplicación web para completar su registro de horas, pero la empresa quiere una aplicación móvil para que empleados y contratistas la usen cuando no estén en las instalaciones. La aplicación se usará para registrar entradas de horas y enviar los datos a la base de datos centralizada de registro de horas mediante la API. La aplicación también permitirá a los gerentes aprobar las entradas de horas.

Objetivos y requisitos

ExampleCo quiere crear una solución flexible. Es posible que haya varios empleados y contratistas que deban poder registrar entradas de horas, así como procesos por lotes que puedan cargar esas entradas desde otros sistemas externos. Por ello, la empresa ha decidido desarrollar una única API de registro de horas que se utilizará para registrar tiempo no solo desde esta aplicación móvil, sino también desde todas las demás aplicaciones. Quieren establecer una arquitectura de seguridad lo suficientemente flexible como para admitirlo. ExampleCo quiere garantizar que gran parte del código y de la lógica de negocio de la aplicación pueda compartirse entre las distintas aplicaciones. Se requiere que solo los usuarios y las aplicaciones autorizados tengan acceso a la API de registro de horas.

Más información

Conclusión (SPA + API)

Descripción general de la solución (aplicaciones móviles + API)

​En resumen

​La premisa

​Objetivos y requisitos

​Más información

En resumen

La premisa

Objetivos y requisitos

Más información