Seguridad - Introducción

Floutic implementa un sistema de seguridad completo siguiendo las mejores prácticas de la industria.

Medidas de Seguridad Implementadas

Autenticación

• ✅ Autenticación JWT segura con refresh tokens en HttpOnly cookies
• ✅ Sistema de session_id único por ventana
• ✅ Cookies con SameSite=Strict para máximo aislamiento
• ✅ Validación de session_id en todas las peticiones
• ✅ Sesiones concurrentes limitadas (máximo 10 por usuario)

Protección de Datos

• ✅ Protección CSRF con tokens HttpOnly
• ✅ Rate limiting multi-nivel:
  • Global: 60 requests/minuto
  • Por usuario (login): 5 intentos máximo
  • Por IP (login): 20 intentos máximo
• ✅ Input validation y protección XSS con DOMPurify
• ✅ Security headers completos (HSTS, CSP, X-Frame-Options, etc.)

Infraestructura

• ✅ HTTPS en producción con HSTS
• ✅ CORS configurado correctamente
• ✅ Validación de datos con Pydantic/Zod
• ✅ RBAC (Role-Based Access Control) completo
• ✅ Password security con bcrypt
• ✅ Trusted hosts en producción

Documentación

• Autenticación - Sistema de autenticación
• Cookies - Seguridad de cookies y sesiones
• Headers - Security headers implementados
• Verificación - Sistema de verificación

Tests de Seguridad

Floutic incluye tests completos de seguridad:

• 31 tests E2E de seguridad pasando (100%)
• Tests de headers, CORS, rate limiting
• Tests de sesiones concurrentes
• Tests de protección CSRF
• Tests de validación de entrada y XSS

Documentación Adicional

Para más detalles, consulta:

• Verificación de Seguridad Completa
• Corrección de Seguridad de Cookies