Saltar al contenido principal
Auth0 limita el uso de los servicios para garantizar un rendimiento óptimo y ofrecer protección frente a , errores técnicos o tráfico legítimo excesivo.  Le recomendamos revisar cómo Auth0 aplica estos límites para configurar su aplicación y ofrecer la mejor experiencia de usuario.
Para conocer los límites de tasa asociados a su cuenta, consulte Configuraciones de límites de tasa, donde encontrará una matriz de todas las políticas de límites de tasa.

Introducción a los límites de tasa

Auth0 aplica límites para proteger los servicios frente a un exceso de solicitudes y a los clientes de interrupciones o degradación del servicio. Auth0 supervisa y, en muchos casos, aplica una serie de límites, entre ellos:
  • Solicitudes a entornos (solo Private Cloud)
  • Solicitudes a tenants a través de la API o de endpoints de API
  • Límites diversos

Límites de solicitudes por entorno (solo Private Cloud)

En Private Cloud, los límites de solicitudes por entorno se basan en el nivel de rendimiento de Private Cloud. Para obtener más información, consulta Private Cloud for AWS o Private Cloud for Azure. Actualmente, los límites de tasa por entorno de Private Cloud representan la carga máxima bajo la cual el producto Auth0 cumplirá los SLA. Sin embargo, por ahora, Auth0 solo aplica estos límites y notifica a los clientes cuando se superan en un tenant específico dentro del entorno. En la mayoría de los casos de uso de Private Cloud, en los que los clientes mantienen un único tenant de producción, esto no supone un problema; sin embargo, los casos de uso que aprovisionan más de un tenant de producción deben tener en cuenta la carga esperada en todos los tenants del entorno e implementar supervisión adicional según sea necesario.
FuncionalidadAPI de autenticaciónTodas las demás API (incluida la Management API)
Límites de tasa del tenantTodos los tenants consumen de un límite global compartido para toda la API en el entorno, pero el límite de tasa del entorno es un tope estricto. Superar el límite del entorno debido a la carga combinada entre tenants hará que se aplique limitación de tasa a las solicitudes excedentes.Los límites de tasa del tenant se aplican de forma independiente, y el límite de tasa del entorno actúa como umbral para una posible degradación del rendimiento y un posible impacto en los SLA, pero no provoca directamente limitación de tasa a nivel de tenant.
Límite de tasa del entorno superado (ejemplo)Con un límite del entorno de 1500 rps, el Tenant 1 a 1400 rps y el Tenant 2 a 900 rps (2300 rps en total) harán que se aplique limitación de tasa a 800 solicitudes.Con un límite del entorno de 1500 rps, el Tenant 1 a 1400 rps y el Tenant 2 a 900 rps (2300 rps en total) no harán que se aplique limitación de tasa a los tenants individuales, pero el entorno en su conjunto puede experimentar una degradación del rendimiento y posibles problemas con los SLA.
Superar un límite de tasa del entorno invalida el Acuerdo de Nivel de Servicio (SLA).
Para conocer las consideraciones sobre pruebas de carga en Private Cloud, consulta Private Cloud on AWS y Private Cloud on Azure.

Límites de solicitudes del tenant

Auth0 limita la cantidad de solicitudes que se pueden hacer en un tenant. Estos límites se configuran en función de la API y, dentro de cada una, de endpoints específicos.

Límites de tasa de la API

Auth0 limita la cantidad de solicitudes que se pueden hacer a una API específica, independientemente del endpoint de la API. Los límites de la API pueden variar según:
  • API
    • Authentication
    • Management
  • Tipo de tenant (producción vs. desarrollo o staging)
  • Nivel de suscripción (Free, Essential, Professional, Enterprise Public vs. Private)
Por ejemplo, un tenant gratuito que no sea de producción podría tener límites distintos de los de un tenant de producción con una suscripción de pago. Para ver configuraciones específicas de límites de tasa, consulta Rate Limit Configurations.

Solicitudes de usuario

Una sola solicitud de un usuario final (p. ej., inicio de sesión o registro) suele generar múltiples solicitudes a los endpoints de la API de autenticación. La proporción real entre las solicitudes de los usuarios finales y las de la API de autenticación depende de varios factores:
  • Entidad que se autentica (p. ej., una máquina o una aplicación móvil o de escritorio de usuario final)
  • Experiencia de autenticación (p. ej., nuevo o Classic Login)
  • Flujo de autenticación (p. ej., inicio de sesión, registro o cambio de contraseña)
  • Tipo de flujo de autenticación (p. ej., inicio de sesión con nombre de usuario/contraseña; inicio de sesión con Social Login; inicio de sesión cuando ya existe un token de autenticación)
Los clientes que usan Extensibility pueden generar aún más solicitudes, no solo a la API de autenticación, sino también a la , según la configuración de Extensibility. Consulte Casos de uso de límites de tasa para obtener orientación sobre cómo estimar de qué forma la configuración de Auth0 puede afectar el uso de la API.

Límites de tasa por endpoint

Auth0 limita la cantidad de solicitudes realizadas a los endpoints de la API y, en algunos casos, la cantidad de operaciones por endpoint.  Los límites de los endpoints de la API también varían según:
  • API
  • Tipo de tenant
  • Nivel de suscripción
Por ejemplo, un tenant gratuito de no producción tiene límites diferentes a los de un tenant de producción con una suscripción de pago.

Orden de aplicación de los límites de solicitudes del tenant

A medida que se hacen solicitudes a tu tenant, Auth0 las evalúa primero según el límite global de la API y luego según el límite de tasa de los endpoints específicos de la API.

Otros límites

Límites de inicio de sesión en bases de datos

Para las conexiones de bases de datos, Auth0 limita ciertos tipos de intentos repetidos de inicio de sesión según la cuenta de usuario y la dirección IP. Para proteger la estabilidad general del sistema, Auth0 aplica límites de tasa para usuario/contraseña que ayudan a mitigar la carga. El alto grado de personalización de Auth0 puede exponernos al riesgo de degradación del servicio. Entre las causas se incluyen:
  • Pruebas de estrés de alta carga
  • Pruebas comparativas
  • Código ineficiente que hace que los usuarios inicien sesión varias veces
Las solicitudes están sujetas a límites, como se describe en las políticas individuales de las API de Auth0. Además, existe un límite de tasa de inicio de sesión para un mismo usuario: si una dirección IP realiza 20 intentos de inicio de sesión en un minuto en la misma cuenta de usuario, el límite de tasa entra en vigor. A partir de ese momento, Auth0 permite al usuario 10 intentos por minuto. Cualquier combinación de intentos de inicio de sesión correctos y fallidos cuenta para este límite.

Límites que protegen a los usuarios

La protección contra fuerza bruta y la limitación de IP sospechosas de Auth0 también pueden limitar los inicios de sesión y los registros, pero son independientes de los límites de tasa. Para obtener más información sobre cómo Auth0 detecta y gestiona anomalías potencialmente maliciosas, consulta Attack Protection.

Límites de mensajes SMS para la autenticación multifactor (solo usuarios finales)

Si intentas enviar más de 10 mensajes SMS a tu dispositivo en una hora, recibirás un mensaje de error indicando que se ha superado el límite de tasa. Cuando superes el límite de mensajes, deberás esperar al menos una hora desde la primera solicitud antes de pedir otro. Recibirás un intento adicional por cada hora que transcurra.

Límites del inicio de sesión social nativo

Los límites que se aplican a las solicitudes del flujo de inicio de sesión social nativo se determinan según el cuerpo de la solicitud, con los siguientes criterios iniciales:
Tipo de solicitudCuerpo
grant_typeurn:ietf:params:oauth:grant-type:token-exchange
subject_token_typehttp://auth0.com/oauth/token-type/apple-authz-code

Public Performance Burst

La oferta Public Performance Burst es un complemento disponible para las suscripciones Enterprise que mejora una implementación existente de Public Cloud. Esta oferta permite aumentar dinámicamente el límite de solicitudes de la API de autenticación hasta un múltiplo del límite predeterminado de Enterprise, de 100 RPS, durante un máximo de 48 horas al mes.
Este complemento solo amplía los límites de solicitudes de la API de autenticación y NO se aplica a la Management API ni a otros endpoints cuya tasa esté limitada fuera del ámbito de la API de autenticación.
Actualmente, hay tres modificadores de Public Performance Burst (2x, 3x y 4x) que permiten 200, 300 y 400 RPS, respectivamente, para la API de autenticación durante un máximo de 48 horas al mes. Esas 48 horas se contabilizan y descuentan de la cuota mensual permitida en intervalos de 1 minuto, lo que permite usar la API al nivel del multiplicador durante 2880 intervalos de 1 minuto al mes. Cuando el volumen de solicitudes de la API de autenticación supera el valor predeterminado de 100 RPS, se descuenta un intervalo de 5 minutos de la cuota mensual y se permite tráfico a la tasa asociada al multiplicador. El tráfico puede mantenerse dentro del rango del multiplicador durante esos 5 minutos consecutivos completos a partir de ese momento sin que se apliquen descuentos adicionales. Es posible supervisar los eventos de deducción de intervalos mediante los registros del tenant. Cada deducción genera un evento asociado del registro del tenant de tipo appi, que contiene información sobre la cuota ya consumida y la restante. Para obtener más información, consulta la sección API de autenticación en Rate Limits - Enterprise.

Private Performance Burst

La oferta Private Performance Burst (disponible actualmente en AWS para los niveles 30x y 60x) incluye una capacidad de rendimiento en ráfaga (pico) de hasta 30x (3.000 RPS) o 60x (6.000 RPS) durante un máximo de 80 horas al mes. La capacidad de rendimiento base, que equivale a la mitad de la capacidad en ráfaga, está disponible durante el resto del mes. En otras palabras, Private Performance Burst 30x tiene:
  • Capacidad base: 1.500 RPS durante todo el mes
  • Capacidad en ráfaga/pico: 3.000 RPS durante un máximo de 80 horas al mes
Si las transacciones de Authentication superan el límite base de API-Request, se descuenta una hora de la asignación mensual. A partir de ese momento, el tráfico puede mantenerse en una tasa elevada durante toda esa hora continua. Se aplican descuentos adicionales de la misma manera cada vez que se vuelve a superar el umbral. Una vez agotada la asignación de 80 horas, el tráfico de Authentication quedará limitado a la capacidad base hasta que entre en vigor la nueva asignación mensual.

Límites de concurrencia de la extensibilidad

Para garantizar la disponibilidad del sistema y el uso justo de sus recursos, Auth0 limita la cantidad de solicitudes simultáneas en curso en todos los productos de extensibilidad: Actions, Hooks, Rules, conexiones de base de datos personalizadas, Extensions y conexiones OAuth2 personalizadas. Los tenants que superen sus límites de solicitudes simultáneas pueden esperar errores en las nuevas solicitudes hasta que finalicen las que estén en curso. Los límites de concurrencia se definen a continuación:
SuscripciónLímite de concurrencia (por tenant)
Public Cloud250
Tier Dev Private Cloud100
Private Cloud Basic 100 RPS (1x)200
Private Cloud Performance 500 RPS (5x)400
Private Cloud Performance 1500 RPS (15x)1200
Private Cloud Performance 3000 RPS (30x) and 3000 RPS Burst (30x Burst)1200
Private Cloud Performance 6000 RPS (60x) and 6000 RPS Burst (60x Burst)1200
La concurrencia puede calcularse multiplicando los RPS esperados por la latencia de cada solicitud. Por ejemplo, un tenant que tiene asociadas dos Actions posteriores al inicio de sesión, cada una de las cuales tarda 250 ms, con un total de 400 RPS de inicio de sesión, tiene una concurrencia esperada de (2 * (400 solicitudes / 1 segundo) * (.25 segundos / 1 solicitud)) = 200. Para asegurarse de que su tenant no se vea afectado por estos límites de concurrencia, verifique que la lógica de extensibilidad potencialmente de larga duración, como las llamadas a APIs externas, tenga tiempos de espera razonables.

Algoritmo de límite de tasa

Auth0 establece límites de tasa y límites de ráfaga para sus API. Mientras que el límite de tasa es la cantidad máxima sostenida de tráfico que el sistema permite de forma continua, el límite de ráfaga es el volumen máximo de tráfico a corto plazo que el sistema permite dentro de un intervalo de tiempo. Los límites de tasa y los límites de ráfaga de Auth0 funcionan conjuntamente para ofrecer una limitación más eficaz ante volúmenes de tráfico dinámicos. Los límites de tasa de Auth0 utilizan un algoritmo de cubo de tokens con las siguientes configuraciones:
  • Claves de límite:
    • Normalmente, una clave de límite de tasa se basa en dos factores principales:
      • API y endpoint
      • Tipo de tenant
    • En algunos casos, los factores adicionales incluyen:
      • IP de origen
      • ID del usuario de destino
  • Valores de límite:
    • Tamaño del cubo: El número máximo de solicitudes que una API o un endpoint recibe en general, o de un usuario o una dirección IP específicos, antes de que se añadan nuevas solicitudes.
    • Tasa de recarga: La velocidad a la que se añaden nuevas solicitudes al cubo.
A partir de estos dos valores, Auth0 calcula el límite de ráfaga y el límite de tasa sostenida:
  • Límite de ráfaga:  Equivale al tamaño del cubo.
  • Límite de tasa sostenida: Tasa de recarga en solicitudes por minuto o por segundo.
Si el límite de tasa sostenida se calcula en solicitudes por segundo, las nuevas solicitudes se añaden en milisegundos. Si el límite de tasa sostenida se calcula en solicitudes por minuto, las nuevas solicitudes se añaden en intervalos de un segundo.

Más información