Skip to main content
Auth0 limita el uso de los servicios para garantizar un rendimiento óptimo y protegerse frente a , errores técnicos o tráfico legítimo excesivo.  Le recomendamos revisar cómo Auth0 aplica estos límites para configurar su aplicación y ofrecer la mejor experiencia de usuario.
Para consultar los límites de tasa asociados a su cuenta, vea Configuraciones de límites de tasa, donde encontrará una matriz de todas las políticas de límites de tasa.

Introducción a los límites de tasa

Auth0 aplica limitaciones para proteger los servicios de solicitudes excesivas y a los clientes de interrupciones o degradación del servicio. Auth0 supervisa y, en muchos casos, aplica una serie de límites, entre ellos:
  • Solicitudes a entornos (solo Private Cloud)
  • Solicitudes a inquilinos a través de la API o de un endpoint de la API
  • Límites diversos

Límites de solicitudes del entorno (solo Private Cloud)

En Private Cloud, los límites de solicitudes del entorno se basan en el nivel de rendimiento de Private Cloud. Para obtener más información, consulte Private Cloud for AWS o Private Cloud for Azure. Actualmente, los límites de solicitudes del entorno de Private Cloud representan la carga máxima bajo la cual el producto Auth0 cumplirá los SLA. Sin embargo, por el momento, Auth0 solo aplica estos límites y notifica a los clientes cuando se superan en un inquilino específico dentro del entorno. En la mayoría de los casos de uso de Private Cloud, en los que los clientes mantienen un único Tenant de producción, esto no supone un problema; sin embargo, los casos de uso que aprovisionan más de un inquilino de producción deben considerar la carga esperada en todos los inquilinos del entorno e implementar supervisión adicional según sea necesario.
FunciónAuthentication APITodas las demás API (incluida Management API)
Límites de solicitudes del inquilinoTodos los inquilinos consumen de un límite global compartido para toda la API en el entorno, pero el límite de solicitudes del entorno es un tope estricto. Si se supera el límite del entorno debido a la carga combinada de varios inquilinos, se limitarán las solicitudes que excedan ese límite.Los límites de solicitudes del inquilino se aplican de forma independiente, y el límite de solicitudes del entorno actúa como un umbral para una posible degradación del rendimiento y un impacto en los SLA, pero no provoca directamente la limitación de solicitudes a nivel de inquilino.
Límite de solicitudes del entorno superado (ejemplo)Con un límite del entorno de 1500 rps, Tenant 1 a 1400 rps y Tenant 2 a 900 rps (2300 rps combinados) darán como resultado que se limiten 800 solicitudes.Con un límite del entorno de 1500 rps, Tenant 1 a 1400 rps y Tenant 2 a 900 rps (2300 rps combinados) no hará que se limiten las solicitudes de los tenants individuales, pero el entorno en su conjunto puede experimentar una degradación del rendimiento y posibles problemas relacionados con los SLA.
Superar un límite de solicitudes del entorno invalida el Acuerdo de Nivel de Servicio (SLA).
Para conocer las consideraciones sobre pruebas de carga en Private Cloud, consulte Private Cloud on AWS y Private Cloud on Azure.

Límites de solicitudes del Tenant

Auth0 limita el número de solicitudes que se pueden realizar en un inquilino. Estos límites se configuran según la API y, además, por endpoints específicos dentro de cada API.

Límites de tasa de la API

Auth0 limita la cantidad de solicitudes que se pueden hacer a una API específica, independientemente del endpoint de la API. Los límites de la API pueden variar según:
  • API
    • Authentication
    • Management
  • Tipo de inquilino (Producción frente a Desarrollo o Staging)
  • Nivel de suscripción (Free, Essential, Professional, Enterprise Public frente a Private)
Por ejemplo, un inquilino gratuito que no sea de producción podría tener límites distintos a los de un inquilino de producción con una suscripción de pago. Para ver configuraciones específicas de límites de tasa, consulta Configuraciones de límites de tasa.

Solicitudes de usuario

Una sola solicitud de un usuario final (por ejemplo, inicio de sesión o registro) normalmente inicia varias solicitudes a endpoints de Authentication API.  La proporción real entre las solicitudes del usuario final y las de Authentication API depende de varios factores:
  • Entidad que se autentica (por ejemplo, máquina o aplicación móvil o de escritorio de usuario final)
  • Experiencia de autenticación (por ejemplo, el nuevo o Classic Login)
  • Flujo de autenticación (por ejemplo, inicio de sesión, registro o cambio de contraseña)
  • Tipo de flujo de autenticación (por ejemplo, inicio de sesión con nombre de usuario / contraseña; inicio de sesión social; inicio de sesión cuando ya existe un token de autenticación)
Los clientes que usan Extensibility pueden agregar aún más solicitudes, no solo a Authentication API, sino también a la , según la configuración de Extensibility. Consulte Casos de uso de los límites de tasa para obtener orientación sobre cómo estimar de qué manera su configuración de Auth0 puede afectar el uso de la API.

Límites de tasa por endpoint

Auth0 limita el número de solicitudes realizadas a los endpoints de la API y, en algunos casos, el número de operaciones en los endpoints.  Los límites de los endpoints de la API también varían según:
  • API
  • Tipo de inquilino
  • Nivel de suscripción
Por ejemplo, un inquilino gratuito que no es de producción tiene límites distintos a los de un inquilino de producción con una suscripción de pago.

Orden de los límites de solicitudes del Tenant

A medida que se envían solicitudes a su Tenant, Auth0 primero las evalúa con respecto al límite global de la API y luego con respecto al límite de velocidad de los endpoints específicos de la API.

Otros límites

Límites de inicio de sesión para conexiones de base de datos

En las conexiones de base de datos, Auth0 limita ciertos tipos de intentos repetidos de inicio de sesión en función de la cuenta de usuario y la dirección IP. Para proteger la estabilidad general del sistema, Auth0 aplica límites de tasa por usuario/contraseña que ayudan a mitigar la carga. El alto grado de personalización de Auth0 puede exponernos al riesgo de degradación del servicio. Entre las causas se incluyen:
  • Pruebas de carga intensiva
  • Pruebas comparativas
  • Código ineficiente que provoca que los usuarios inicien sesión varias veces
Las solicitudes están sujetas a límites, como se indica en las políticas individuales de las API de Auth0. Además, existe un límite de tasa de inicio de sesión para un mismo usuario: si una dirección IP realiza 20 intentos de inicio de sesión en un minuto sobre la misma cuenta de usuario, el límite de tasa entra en vigor. A partir de ese momento, Auth0 permite 10 intentos por minuto para ese usuario. Cualquier combinación de intentos de inicio de sesión correctos y fallidos cuenta para este límite.

Límites que protegen a los usuarios

La protección contra fuerza bruta de Auth0 y la limitación de IP sospechosas también pueden limitar los inicios de sesión y los registros, pero son independientes de los límites de tasa. Para obtener más información sobre cómo Auth0 detecta y gestiona anomalías potencialmente maliciosas, consulte Protección contra ataques.

Límites de mensajes SMS para la autenticación multifactor (solo para usuarios finales)

Si intenta enviar más de 10 mensajes SMS a su dispositivo en el plazo de una hora, recibirá un mensaje de error indicando que se ha superado el límite de solicitudes. Cuando supere el límite de mensajes, deberá esperar al menos una hora desde la primera solicitud de envío antes de pedir otro. Recibirá un intento adicional por cada hora adicional que transcurra.

Límites del inicio de sesión social nativo

Los límites que se aplican a las solicitudes del flujo de inicio de sesión social nativo se determinan en función del cuerpo de la solicitud según los siguientes criterios iniciales:
Tipo de solicitudCuerpo
grant_typeurn:ietf:params:oauth:grant-type:token-exchange
subject_token_typehttp://auth0.com/oauth/token-type/apple-authz-code

Ráfaga de rendimiento pública

La oferta Public Performance Burst es un complemento disponible para suscripciones empresariales que mejora una implementación existente en Public Cloud. Esta oferta permite aumentar dinámicamente el límite de solicitudes de la Authentication API hasta un múltiplo del límite empresarial predeterminado de 100 RPS, durante un máximo de 48 horas al mes.
Este complemento solo amplía los límites de solicitudes de la Authentication API y NO se aplica a la Management API ni a otros endpoints con límites de velocidad fuera del alcance de la Authentication API.
Actualmente, hay tres modificadores de Public Performance Burst (2x, 3x y 4x) que permiten 200, 300 y 400 RPS, respectivamente, para la Authentication API durante un máximo de 48 horas al mes. Las 48 horas se contabilizan y se descuentan de la cuota mensual permitida en intervalos de 5 minutos, lo que permite usar la API al nivel del multiplicador durante 576 intervalos de 5 minutos cada mes. Cuando el volumen de solicitudes de la Authentication API supera el valor predeterminado de 100 RPS, se descuenta un intervalo de 5 minutos de la asignación mensual y se permite tráfico a la tasa asociada con el multiplicador. El tráfico puede mantenerse dentro del rango del multiplicador durante los 5 minutos continuos completos a partir de ese momento sin generar descuentos adicionales. Es posible supervisar los eventos de descuento de intervalos mediante los registros del inquilino. Cada descuento genera un tipo de evento de registro del inquilino appi asociado que contiene información sobre la asignación ya consumida y la restante. Para obtener más información, consulta la sección Authentication API en Límites de velocidad - Enterprise.

Private Performance Burst

La oferta de Private Performance Burst (disponible actualmente en AWS para los niveles 30x y 60x) incluye una capacidad de rendimiento en ráfaga (pico) de hasta 30x (3.000 RPS) o 60x (6.000 RPS) durante un máximo de 80 horas al mes. La capacidad de rendimiento base, que equivale a la mitad de la capacidad de rendimiento en ráfaga, está disponible durante el resto del mes. En otras palabras, Private Performance Burst 30x tiene:
  • Capacidad base: 1.500 RPS durante todo el mes
  • Capacidad de ráfaga/pico: 3.000 RPS durante un máximo de 80 horas al mes
Si las transacciones de autenticación superan el límite base de solicitudes de API, se descuenta una hora de la asignación mensual. A partir de ese momento, el tráfico puede mantenerse a una tasa elevada durante toda esa hora consecutiva. Se realizan descuentos adicionales de la misma forma cada vez que se vuelve a superar el umbral. Una vez agotada la asignación de 80 horas, el tráfico de autenticación se limitará a la capacidad base hasta que entre en vigor la nueva asignación mensual.

Límites de concurrencia de la extensibilidad

Para garantizar la disponibilidad del sistema y el uso equitativo de sus recursos, Auth0 limita el número de solicitudes concurrentes en curso en todos los productos de extensibilidad: Actions, Hooks, Rules, conexiones personalizadas de base de datos, extensiones y conexiones OAuth2 personalizadas. Los inquilinos que superen sus límites de solicitudes concurrentes verán errores en las solicitudes nuevas hasta que finalicen las solicitudes en curso. Los límites de concurrencia se definen a continuación:
SuscripciónLímite de concurrencia (por Tenant)
Public Cloud250
Tier Dev Private Cloud100
Private Cloud Basic 100 RPS (1x)200
Private Cloud Performance 500 RPS (5x)400
Private Cloud Performance 1500 RPS (15x)1200
Private Cloud Performance 3000 RPS (30x) and 3000 RPS Burst (30x Burst)1200
Private Cloud Performance 6000 RPS (60x) and 6000 RPS Burst (60x Burst)1200
La concurrencia puede calcularse multiplicando los RPS esperados por la latencia de cada solicitud. Por ejemplo, un inquilino que tiene vinculadas dos Actions de post-login, cada una de las cuales tarda 250 ms, con un total de 400 RPS de inicio de sesión, tendrá una concurrencia esperada de (2 * (400 requests / 1 second) * (.25 seconds / 1 request)) = 200. Para asegurarte de que tu inquilino no se vea afectado por estos límites de concurrencia, verifica que la lógica de extensibilidad potencialmente de larga duración, como las llamadas a API externas, tenga tiempos de espera razonables.

Algoritmo de limitación de tasa

Auth0 establece límites de tasa y límites de ráfaga para sus API. Mientras que el límite de tasa es la cantidad máxima de tráfico sostenido que el sistema permite de forma continua, el límite de ráfaga es el volumen máximo de tráfico a corto plazo que el sistema permite dentro de un intervalo de tiempo. Los límites de tasa y los límites de ráfaga de Auth0 funcionan conjuntamente para ofrecer una mejor limitación ante volúmenes de tráfico dinámicos. Los límites de tasa de Auth0 usan un algoritmo de cubo de tokens con las siguientes configuraciones:
  • Claves de límite:
    • Normalmente, una clave de límite de tasa se basa en dos factores principales:
      • API y endpoint
      • Tipo de inquilino
    • En algunos casos, los factores adicionales incluyen:
      • IP de origen
      • ID del usuario de destino
  • Valores de límite:
    • Tamaño del cubo: El número máximo de solicitudes que una API o un endpoint recibe en general, o que recibe de un usuario o una dirección IP específicos, antes de que se añadan nuevas solicitudes.
    • Tasa de recarga: La velocidad a la que se añaden nuevas solicitudes al cubo.
A partir de estos dos valores, Auth0 calcula el límite de ráfaga y el límite de tasa sostenido:
  • Límite de ráfaga:  Igual al tamaño del cubo.
  • Límite de tasa sostenido: Tasa de recarga en solicitudes por minuto o por segundo.
Si el límite de tasa sostenido se calcula en solicitudes por segundo, las nuevas solicitudes se añaden en intervalos de milisegundos. Si el límite de tasa sostenido se calcula en solicitudes por minuto, las nuevas solicitudes se añaden en intervalos de un segundo.

Más información