Skip to main content
Auth0 limita el uso de los servicios para garantizar un rendimiento óptimo y protegerse frente a , errores técnicos o tráfico legítimo excesivo.  Le recomendamos revisar cómo Auth0 aplica los límites para configurar su aplicación y ofrecer la mejor experiencia de usuario.
Para consultar los límites de tasa asociados a su cuenta, vea Configuraciones de límites de tasa, donde encontrará una matriz de todas las políticas de límites de tasa.

Introducción a los límites de tasa

Auth0 impone límites para proteger los servicios frente a solicitudes excesivas y evitar interrupciones o degradación del servicio para los clientes. Auth0 supervisa y, en muchos casos, aplica una serie de límites, entre ellos:
  • Solicitudes a entornos (solo Private Cloud)
  • Solicitudes a inquilinos mediante la API o un endpoint de API
  • Límites diversos

Límites de solicitudes del entorno (solo Private Cloud)

En Private Cloud, los límites de solicitudes del entorno se basan en el nivel de rendimiento de Private Cloud. Para obtener más información, consulte Private Cloud for AWS o Private Cloud for Azure. Actualmente, los límites de tasa del entorno de Private Cloud representan la carga máxima bajo la cual el producto Auth0 cumplirá los SLA. Sin embargo, por el momento, Auth0 solo aplica estos límites y notifica a los clientes cuando se han superado los límites de tasa en un inquilino específico dentro del entorno. En la mayoría de los casos de uso de Private Cloud, donde los clientes mantienen un único Tenant de producción, esto no supone un problema; sin embargo, los casos de uso que aprovisionan más de un tenant de producción deben tener en cuenta la carga esperada en todos los tenants del entorno e implementar monitoreo adicional según sea necesario.
FuncionalidadAuthentication APITodas las demás API (incluida Management API)
Límites de tasa del tenantTodos los tenants consumen de un límite global compartido de la API en todo el entorno, pero el límite de tasa del entorno es un tope estricto. Si se supera el límite del entorno debido a la carga combinada de varios tenants, las solicitudes excedentes se limitarán por tasa.Los límites de tasa del tenant se aplican de forma independiente, y el límite de tasa del entorno actúa como umbral para una posible degradación del rendimiento y un posible impacto en el SLA, pero no provoca directamente la limitación por tasa a nivel del tenant.
Límite de tasa del entorno superado (ejemplo)Con un límite del entorno de 1500 rps, Tenant 1 con 1400 rps y Tenant 2 con 900 rps (2300 rps combinados) hará que 800 solicitudes se limiten por tasa.Con un límite del entorno de 1500 rps, Tenant 1 con 1400 rps y Tenant 2 con 900 rps (2300 rps combinados) no hará que se aplique limitación por tasa a tenants individuales, pero el entorno en su conjunto puede experimentar una degradación del rendimiento y posibles problemas de SLA.
Superar un límite de tasa del entorno invalida el Acuerdo de Nivel de Servicio (SLA).
Para conocer las consideraciones sobre las pruebas de carga en Private Cloud, consulte Private Cloud on AWS y Private Cloud on Azure.

Límites de solicitudes del Tenant

Auth0 limita el número de solicitudes que se pueden realizar en un inquilino. Estos límites se configuran en función de la API y también de los endpoints específicos de cada una.

Límites de tasa de la API

Auth0 limita el número de solicitudes a una API específica, independientemente del endpoint de la API. Los límites de la API pueden variar según:
  • API
    • Authentication
    • Management
  • Tipo de inquilino (Producción frente a Desarrollo o Staging)
  • Nivel de suscripción (Free, Essential, Professional, Enterprise Public frente a Private)
Por ejemplo, un inquilino gratuito que no sea de producción podría tener límites distintos de los de un inquilino de producción con una suscripción de pago. Para consultar configuraciones específicas de límites de tasa, consulta Configuraciones de límites de tasa.

Solicitudes de usuario

Una sola solicitud de un usuario final (por ejemplo, inicio de sesión o registro) normalmente inicia varias solicitudes a endpoints de Authentication API.  La proporción real entre las solicitudes de usuarios finales y las solicitudes a Authentication API depende de varios factores:
  • Entidad que se autentica (por ejemplo, una máquina o una aplicación móvil o de escritorio para usuario final)
  • Experiencia de autenticación (por ejemplo, el nuevo o Classic Login)
  • Flujo de autenticación (por ejemplo, inicio de sesión, registro o cambio de contraseña)
  • Tipo de flujo de autenticación (por ejemplo, inicio de sesión mediante username / contraseña; inicio de sesión mediante inicio de sesión social; inicio de sesión cuando ya existe un token de autenticación)
Los clientes que usan la extensibilidad podrían agregar aún más solicitudes, no solo a Authentication API, sino también a la , según la configuración de extensibilidad. Consulte Casos de uso del límite de tasa para obtener orientación sobre cómo estimar de qué manera su configuración de Auth0 puede afectar al uso de la API.

Límites de tasa por endpoint

Auth0 limita la cantidad de solicitudes a los endpoints de la API y, en algunos casos, la cantidad de operaciones del endpoint.  Los límites de los endpoints de la API también varían según:
  • API
  • Tipo de Tenant
  • Nivel de suscripción
Por ejemplo, un inquilino gratuito no destinado a producción tiene límites diferentes a los de un inquilino de producción con una suscripción de pago.

Orden de aplicación de los límites de solicitudes del Tenant

A medida que se envían solicitudes a su inquilino, Auth0 evalúa las solicitudes según el límite global de la API y, a continuación, según el límite de tasa de los endpoints específicos de la API.

Otros límites

Límites de inicio de sesión de conexiones de base de datos

Para las conexiones de base de datos, Auth0 limita determinados tipos de intentos repetidos de inicio de sesión en función de la cuenta de usuario y la dirección IP. Para proteger el funcionamiento general del sistema, Auth0 aplica límites de tasa por usuario/contraseña para mitigar la carga. El alto grado de personalización de Auth0 puede exponernos al riesgo de degradación del servicio. Entre las causas se incluyen:
  • Pruebas de estrés con alta carga
  • Pruebas de rendimiento
  • Código ineficiente que hace que los usuarios inicien sesión varias veces
Las solicitudes están sujetas a límites, tal como se describe en las políticas individuales de las API de Auth0. Además, existe un límite de tasa de inicio de sesión para un mismo usuario: si una dirección IP realiza 20 intentos de inicio de sesión en un minuto en la misma cuenta de usuario, el límite de tasa entra en vigor. Después de eso, Auth0 permite al usuario 10 intentos por minuto. Cualquier combinación de intentos de inicio de sesión correctos y fallidos cuenta para este límite.

Límites que protegen a los usuarios

La protección contra fuerza bruta de Auth0 y la limitación de IP sospechosas también pueden limitar los inicios de sesión y los registros, pero son independientes de los límites de tasa. Para obtener más información sobre cómo Auth0 detecta y gestiona anomalías potencialmente maliciosas, consulta Protección contra ataques.

Límites de mensajes SMS para la autenticación multifactor (solo usuarios finales)

Si intenta enviar más de 10 mensajes SMS a su dispositivo en una hora, recibirá un mensaje de error por exceder el límite de tasa. Cuando supere su límite de mensajes, deberá esperar al menos una hora desde la primera solicitud de mensaje antes de pedir otro. Recibirá un intento adicional por cada hora adicional que transcurra.

Límites del inicio de sesión social nativo

Los límites que se aplican a las solicitudes del flujo de inicio de sesión social nativo se identifican según el cuerpo de las solicitudes, con los siguientes criterios iniciales:
Tipo de solicitudCuerpo
grant_typeurn:ietf:params:oauth:grant-type:token-exchange
subject_token_typehttp://auth0.com/oauth/token-type/apple-authz-code

Public Performance Burst

La oferta Public Performance Burst es un complemento disponible para las suscripciones Enterprise que mejora una implementación existente en Public Cloud. Esta oferta permite aumentar dinámicamente el límite de solicitudes de Authentication API hasta un multiplicador del límite de solicitudes Enterprise predeterminado de 100 RPS durante un máximo de 48 horas al mes.
Este complemento solo amplía los límites de solicitudes de Authentication API y NO se aplica a Management API ni a otros endpoints con límite de tasa fuera del alcance de Authentication API.
Actualmente, hay tres modificadores de Public Performance Burst (2x, 3x y 4x) que permiten 200, 300 y 400 RPS, respectivamente, para Authentication API durante un máximo de 48 horas al mes. Las 48 horas se contabilizan y descuentan de la cuota mensual permitida en intervalos de 5 minutos, lo que permite usar la API al nivel del multiplicador durante 576 intervalos de 5 minutos cada mes. Cuando el volumen de solicitudes de Authentication API supera el valor predeterminado de 100 RPS, se descuenta un intervalo de 5 minutos de la asignación mensual y se permite tráfico a la tasa asociada al multiplicador. El tráfico puede mantenerse dentro del rango del multiplicador durante los 5 minutos consecutivos completos a partir de ese momento sin que se apliquen descuentos adicionales. Es posible supervisar los eventos de deducción de intervalos mediante los registros del inquilino. Cada deducción genera un evento de registro del inquilino appi asociado que contiene información sobre la asignación ya consumida y la restante. Para obtener más información, consulta la sección de Authentication API en Límites de tasa - Enterprise.

Private Performance Burst

La oferta Private Performance Burst (disponible actualmente en AWS para los niveles 30x y 60x) incluye una capacidad de rendimiento en ráfaga (pico) de hasta 30x (3.000 RPS) o 60x (6.000 RPS) durante un máximo de 80 horas al mes. La capacidad de rendimiento base, que equivale a la mitad de la capacidad de rendimiento en ráfaga, está disponible durante el resto del mes. En otras palabras, Private Performance Burst 30x tiene:
  • Capacidad base: 1.500 RPS durante todo el mes
  • Capacidad de ráfaga/pico: 3.000 RPS durante un máximo de 80 horas al mes
Si las transacciones de autenticación superan el límite base de solicitudes de la API, se descuenta una hora de la asignación mensual. A partir de ese momento, el tráfico puede mantenerse a una tasa elevada durante una hora continua completa. Se aplican deducciones adicionales de la misma manera cada vez que se vuelve a superar el umbral. Una vez agotada la asignación de 80 horas, el tráfico de autenticación quedará sujeto al límite de tasa de la capacidad base hasta que entre en vigor la nueva asignación mensual.

Límites de concurrencia de extensibilidad

Para garantizar la disponibilidad del sistema y el uso equitativo de sus recursos, Auth0 limita la cantidad de solicitudes simultáneas en curso en todos los productos de extensibilidad: Actions, Hooks, Rules, conexiones de base de datos personalizadas, Extensions y conexiones OAuth2 personalizadas. Los inquilinos que superen sus límites de solicitudes concurrentes pueden recibir errores en las nuevas solicitudes hasta que finalicen las que están en curso. Los límites de concurrencia se definen a continuación:
SuscripciónLímite de concurrencia (por inquilino)
Nube pública250
Nube privada Tier Dev100
Nube privada Basic 100 RPS (1x)200
Nube privada Performance 500 RPS (5x)400
Nube privada Performance 1500 RPS (15x)1200
Nube privada Performance 3000 RPS (30x) y 3000 RPS Burst (30x Burst)1200
Nube privada Performance 6000 RPS (60x) y 6000 RPS Burst (60x Burst)1200
La concurrencia se puede calcular multiplicando los RPS esperados por la latencia de cada solicitud. Por ejemplo, un inquilino que tiene vinculadas dos Actions de post-login, cada una con una duración de 250 ms, y un total de 400 RPS de inicio de sesión, tendrá una concurrencia esperada de (2 * (400 solicitudes / 1 segundo) * (.25 segundos / 1 solicitud)) = 200. Para asegurarse de que su inquilino no se vea afectado por estos límites de concurrencia, asegúrese de que la lógica de extensibilidad que pueda tardar más tiempo en ejecutarse, como las llamadas a API externas, tenga tiempos de espera razonables.

Algoritmo de límite de tasa

Auth0 establece límites de tasa y límites de ráfaga para sus API. Mientras que el límite de tasa es la cantidad máxima de tráfico que el sistema puede sostener de forma continua, el límite de ráfaga es el volumen máximo de tráfico a corto plazo que el sistema permite dentro de un intervalo de tiempo. Los límites de tasa y los límites de ráfaga de Auth0 funcionan conjuntamente para ofrecer una mejor limitación de volúmenes de tráfico dinámicos. Los límites de tasa de Auth0 usan un algoritmo de token bucket con las siguientes configuraciones:
  • Claves de límite:
    • Normalmente, una clave de límite de tasa se basa en dos factores principales:
      • API y endpoint
      • Tipo de inquilino
    • En algunos casos, los factores adicionales incluyen:
      • IP de origen
      • ID del usuario de destino
  • Valores de límite:
    • Tamaño del bucket: La cantidad máxima de solicitudes que una API o un endpoint recibe en general, o de un usuario o una dirección IP concretos, antes de que se agreguen nuevas solicitudes.
    • Tasa de recarga: La velocidad a la que se agregan nuevas solicitudes al bucket.
A partir de estos dos valores, Auth0 calcula el límite de ráfaga y el límite de tasa sostenido:
  • Límite de ráfaga: Igual al tamaño del bucket.
  • Límite de tasa sostenido: Tasa de recarga en solicitudes por minuto o por segundo.
Si el límite de tasa sostenido se calcula en solicitudes por segundo, las nuevas solicitudes se agregan en milisegundos. Si el límite de tasa sostenido se calcula en solicitudes por minuto, las nuevas solicitudes se agregan por segundos.

Más información