Back to 0cron
0cron

Secretos encriptados, claves API y seguridad

Como 0cron asegura los secretos de usuario con AES-256-GCM, autentica via JWT y claves API, y verifica Google Sign-In y webhooks de Stripe.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 3 min 0cron
EN/ FR/ ES
0cronsecurityencryptionaes-gcmjwtapi-keysgoogle-auth

Un servicio de tareas cron que hace solicitudes HTTP en nombre de los usuarios es, por definicion, un servicio que maneja credenciales. Tus tareas llaman APIs que requieren autenticacion. Esas claves API, tokens bearer y secretos de webhook necesitan vivir en algun lugar -- y ese lugar mejor que este encriptado, con acceso controlado y auditable.

0cron tiene cuatro capas de seguridad distintas: almacenamiento encriptado de secretos para credenciales de usuario, autenticacion basada en JWT para sesiones del dashboard, autenticacion con clave API para acceso programatico, y verificacion externa para Google Sign-In y webhooks de Stripe.

Capa 1: Secretos encriptados (AES-256-GCM)

Cuando un usuario almacena una clave API en 0cron, ese valor se encripta antes de tocar la base de datos. Usamos AES-256-GCM, el estandar de oro para encriptacion autenticada.

rustpub fn encrypt_secret(plaintext: &str, key: &[u8]) -> AppResult<Vec<u8>> {
    let key = aes_gcm::Key::<Aes256Gcm>::from_slice(key);
    let cipher = Aes256Gcm::new(key);
    let nonce = Aes256Gcm::generate_nonce(&mut OsRng);
    let ciphertext = cipher.encrypt(&nonce, plaintext.as_bytes())
        .map_err(|e| AppError::Encryption(format!("Encryption failed: {e}")))?;
    let mut result = nonce.to_vec();
    result.extend_from_slice(&ciphertext);
    Ok(result)
}

Nonces aleatorios de OsRng. Cada operacion de encriptacion genera un nonce fresco de 12 bytes.

Texto cifrado prefijado con nonce. El formato de almacenamiento es nonce || ciphertext -- los primeros 12 bytes son el nonce, y todo despues es los datos encriptados mas la etiqueta de autenticacion GCM.

La clave de encriptacion es un secreto del lado del servidor. Si la base de datos se compromete, el atacante obtiene blobs encriptados que son inutiles sin la clave.

Interpolacion de secretos en configuraciones de tareas

rustpub async fn interpolate_secrets(text: &str, team_id: Uuid, db: &PgPool, key: &[u8]) -> AppResult<String> {
    let re = Regex::new(r"\$\{secrets\.([A-Za-z0-9_]+)\}").unwrap();
    let mut result = text.to_string();
    for (full_match, key_name) in re.captures_iter(text)... {
        // Lookup, decrypt, substitute
    }
    Ok(result)
}

Los usuarios referencian secretos usando sintaxis ${secrets.API_KEY}. La interpolacion ocurre en tiempo de ejecucion, no en tiempo de creacion de tarea. Los secretos nunca se almacenan en texto plano en las configuraciones de tareas.

Capa 2: Autenticacion JWT

Usuarios del dashboard se autentican via JSON Web Tokens con HS256, con un secreto del lado del servidor.

Capa 3: Autenticacion con clave API

Las claves API se hashean con Argon2 antes de almacenarse. Solo el prefijo (primeros 8 caracteres) se almacena en texto plano para busqueda. Argon2 es deliberadamente lento por diseno -- resiste ataques de fuerza bruta basados en GPU.

Capa 4: Verificacion externa

Google Sign-In: Decodificar encabezado JWT, obtener claves publicas de Google, verificar firma RS256, validar claims (aud, iss, email_verified).

Webhooks de Stripe: Verificacion de firma HMAC-SHA256 con tolerancia de marca de tiempo de 5 minutos y comparacion de tiempo constante.

El modulo de secretos de 93 lineas

Todo el modulo de secretos -- encriptacion, desencriptacion e interpolacion -- son 93 lineas de Rust. El middleware de auth son 86 lineas. El codigo total relacionado con seguridad es menos de 400 lineas. Usamos bibliotecas criptograficas bien auditadas (aes-gcm, jsonwebtoken, argon2, hmac) y escribimos las 93 lineas de pegamento que las conectan a nuestro modelo de dominio.

La seguridad no es una funcionalidad que se anade al final. Es una propiedad de la arquitectura. En 0cron, los secretos fueron encriptados desde el dia uno, la autenticacion fue requerida desde el primer endpoint, y las integraciones externas fueron verificadas desde el primer webhook.


Este es el articulo 9 de 10 en la serie "Como construimos 0cron".

Share this article:

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

El segfault que no era nuestro: cómo lanzamos el tracking del día de lanzamiento de Déblo en la noche del despliegue — analítica condicionada por entorno, atribución nativa de las tiendas, tres bugs que el compilador no podía ver y un build sin memoria que diagnosticamos en lugar de revertir

El 1 de julio de 2026 — el día del lanzamiento — el riesgo nunca fue el texto. Era que las campañas de pago salieran a ciegas. Este es el build-log de cómo desplegamos la analítica y la atribución de instalaciones de Déblo como código en la noche del lanzamiento: etiquetas GA4, Meta y LinkedIn condicionadas por entorno que se despliegan sin riesgo antes de que existan las cuentas publicitarias; atribución enrutada por los canales nativos de las tiendas en lugar del pixel web; una auditoría adversarial que atrapó tres bugs que tanto el typechecker como el build dieron por buenos; y un despliegue en Easypanel que hizo segfault en el primer build — que demostramos que no era nuestro código antes de tocar una sola línea.

18 min Jul 1, 2026
deblolaunch-dayclaude-opus-4.8claude-code +26
Thales & Claude thales

Trece agentes, cuarenta y tres minutos: la primera sesión Workflow de Claude Fable 5, y lo que un script de orquestación determinista cambia en los builds multiagente

Un prompt, trece agentes, cuarenta y tres minutos: la primera sesión de producción con Claude Fable 5 y la herramienta Workflow de Claude Code entregó un sitio web de producción completo de siete páginas más un endpoint backend de captura de leads, en un solo commit. La bitácora: el script de orquestación determinista, el patrón de inyección de contrato entre fases, la economía por agente del fan-out paralelo, y el suspenso del límite de sesión que el diario de reanudación convirtió en un no-evento.

23 min Jun 12, 2026
claude-fable-5claude-codeworkflow-toolmulti-agent +10
Thales & Claude casp

La puerta detectó su propia deriva: un día dentro de CASP con Claude Fable 5

Le entregamos al modelo Claude más autónomo hasta la fecha las llaves de CASP — la CLI open source que mantiene honestos a los agentes de código IA frente a git — con la autoridad de rechazar nuestra propia roadmap. Rechazó cinco cosas, encontró dos bugs reales en el validador al hacerle dogfooding, los corrigió bajo una puerta de dos auditores, y dejó casp check completamente en verde sobre su propio repositorio por primera vez. CASP 0.3.0 es el resultado.

15 min Jun 10, 2026
caspzerosuiteworkflowai-cto +9