Back to 0fee
0fee

El stack de middleware: autenticación, límite de tasa e idempotencia

Cómo 0fee.dev maneja la autenticación por clave API, el límite de tasa basado en Redis y las claves de idempotencia para prevenir pagos duplicados. Por Juste A. Gnimavo y Claude.

Juste A. Gnimavo (Thales) & Claude | March 27, 2026 3 min 0fee
EN/ FR/ ES
middlewareauthenticationrate-limitingidempotencysecurity

Cada solicitud de API a 0fee.dev pasa a través de un stack de middleware antes de llegar a un manejador de ruta. Este stack maneja tres preocupaciones: verificar que el llamador está autorizado, asegurar que no está excediendo su límite de tasa y prevenir pagos duplicados cuando problemas de red causan reintentos. Estas no son funcionalidades opcionales para una plataforma de pagos -- son la base de confianza entre la plataforma y sus comerciantes.

Autenticación por clave API

0fee.dev usa claves API con prefijos que codifican información de entorno y tipo directamente en la cadena de la clave: sk_live_ para claves secretas de producción, sk_sand_ para sandbox, pk_live_ para claves publicables de producción y pk_sand_ para sandbox publicable. La convención de prefijos fue tomada de Stripe por buena razón: permite a los desarrolladores distinguir instantáneamente entre tipos de claves.

El middleware de autenticación también soporta tokens de sesión para el panel (usuarios que se autentican con email/contraseña), con degradación elegante entre ambos mecanismos. Después de la autenticación, el middleware verifica si la cuenta del comerciante está suspendida por facturas impagas, usando el código de estado HTTP 402 (Payment Required).

Límite de tasa basado en Redis

El límite de tasa usa un algoritmo de ventana deslizante implementado en DragonflyDB. Cada clave API obtiene un presupuesto configurable: 1.000 solicitudes/minuto para claves secretas, 100/minuto para claves publicables y 500/minuto para sesiones. La decisión de diseño más importante es la degradación elegante: cuando DragonflyDB no está disponible, el limitador de tasa falla abierto -- las solicitudes pasan sin restricción, porque para una plataforma de pagos, un limitador de tasa temporalmente ausente es mucho menos dañino que bloquear solicitudes de pago legítimas.

Manejo de claves de idempotencia

Las claves de idempotencia previenen pagos duplicados. El comerciante incluye un encabezado Idempotency-Key con un identificador único. Si la misma clave se envía dos veces, la segunda solicitud devuelve la respuesta en caché de la primera -- no se crea ningún pago nuevo. Las claves expiran después de 24 horas, y como el límite de tasa, el manejo de idempotencia falla abierto cuando DragonflyDB no está disponible.

La cadena completa de middleware

Cuando llega una solicitud a 0fee.dev, pasa por esta cadena: extraer clave API o token de sesión, validar credenciales, verificar suspensión de facturación, verificar clave de idempotencia, verificar límite de tasa, manejador de ruta (lógica de negocio), almacenar respuesta de idempotencia, agregar encabezados de límite de tasa a la respuesta. Cada paso puede cortocircuitar la cadena. El orden es intencional: la autenticación es lo más barato (una comparación de hash), así que va primero. La lógica de negocio es lo más caro, así que va al final.


Este artículo es parte de la serie "Cómo construimos 0fee.dev". 0fee.dev es un orquestador de pagos que cubre más de 53 proveedores en más de 200 países, construido por Juste A. GNIMAVO y Claude desde Abiyán sin ningún ingeniero humano. Sigue la serie para conocer la historia completa de construcción.

Share this article:

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

El segfault que no era nuestro: cómo lanzamos el tracking del día de lanzamiento de Déblo en la noche del despliegue — analítica condicionada por entorno, atribución nativa de las tiendas, tres bugs que el compilador no podía ver y un build sin memoria que diagnosticamos en lugar de revertir

El 1 de julio de 2026 — el día del lanzamiento — el riesgo nunca fue el texto. Era que las campañas de pago salieran a ciegas. Este es el build-log de cómo desplegamos la analítica y la atribución de instalaciones de Déblo como código en la noche del lanzamiento: etiquetas GA4, Meta y LinkedIn condicionadas por entorno que se despliegan sin riesgo antes de que existan las cuentas publicitarias; atribución enrutada por los canales nativos de las tiendas en lugar del pixel web; una auditoría adversarial que atrapó tres bugs que tanto el typechecker como el build dieron por buenos; y un despliegue en Easypanel que hizo segfault en el primer build — que demostramos que no era nuestro código antes de tocar una sola línea.

18 min Jul 1, 2026
deblolaunch-dayclaude-opus-4.8claude-code +26
Thales & Claude thales

Trece agentes, cuarenta y tres minutos: la primera sesión Workflow de Claude Fable 5, y lo que un script de orquestación determinista cambia en los builds multiagente

Un prompt, trece agentes, cuarenta y tres minutos: la primera sesión de producción con Claude Fable 5 y la herramienta Workflow de Claude Code entregó un sitio web de producción completo de siete páginas más un endpoint backend de captura de leads, en un solo commit. La bitácora: el script de orquestación determinista, el patrón de inyección de contrato entre fases, la economía por agente del fan-out paralelo, y el suspenso del límite de sesión que el diario de reanudación convirtió en un no-evento.

23 min Jun 12, 2026
claude-fable-5claude-codeworkflow-toolmulti-agent +10
Thales & Claude casp

La puerta detectó su propia deriva: un día dentro de CASP con Claude Fable 5

Le entregamos al modelo Claude más autónomo hasta la fecha las llaves de CASP — la CLI open source que mantiene honestos a los agentes de código IA frente a git — con la autoridad de rechazar nuestra propia roadmap. Rechazó cinco cosas, encontró dos bugs reales en el validador al hacerle dogfooding, los corrigió bajo una puerta de dos auditores, y dejó casp check completamente en verde sobre su propio repositorio por primera vez. CASP 0.3.0 es el resultado.

15 min Jun 10, 2026
caspzerosuiteworkflowai-cto +9