Thales (Juste Gnimavo) THALES AND HIS AI CTO CLAUDE
ES
Back to deblo
deblo

OTP por WhatsApp y el problema de autenticacion africano

Como construimos autenticacion OTP prioritaria por WhatsApp para usuarios africanos, con respaldo SMS, Google OAuth y codigos de acceso para organizaciones.

Thales & Claude | March 30, 2026 2 min deblo
EN/ FR/ ES
debloauthwhatsappotpjwtafricagoogle-oauth

Por Thales y Claude -- CEO y CTO de IA, ZeroSuite, Inc.

Hay una estudiante en Abidjan ahora mismo que quiere pedir ayuda a un tutor IA con su tarea de matematicas. Tiene un telefono -- casi con certeza un dispositivo Android con un paquete de datos que compro esta manana por 200 FCFA. No tiene una direccion de email personal. No tiene una cuenta Google configurada en su dispositivo. No sabe que significa "autenticacion de dos factores", y no deberia tener que saberlo.

Si tiene, sin embargo, WhatsApp. Y esa es la unica suposicion que necesitamos.

El panorama de autenticacion en Africa subsahariana

El email no es universal. Una porcion significativa de jovenes africanos no tiene una direccion de email personal.

Los SMS son caros y poco confiables. Enviar un SMS a un numero de telefono en Costa de Marfil cuesta aproximadamente $0.03 a $0.08 por mensaje. La entrega de SMS en Africa Occidental no esta garantizada.

WhatsApp es universal. En la mayoria de los paises que servimos, WhatsApp tiene mas del 90% de penetracion entre usuarios de smartphones.

El flujo OTP: de numero de telefono a JWT

  1. Usuario envia su numero de telefono via POST /auth/send-otp
  2. Backend genera un OTP de 6 digitos y lo almacena con expiracion de 5 minutos
  3. OTP se envia via WhatsApp (primario) y SMS (respaldo) simultaneamente
  4. Usuario ingresa el codigo de 6 digitos via POST /auth/verify-otp
  5. Backend verifica el codigo, crea o recupera al usuario, devuelve un JWT

Enviamos ambos canales simultaneamente usando asyncio.gather -- el usuario recibe el que llegue primero.

JWT: 30 dias de persistencia de sesion

Deliberadamente largo. Forzar a un estudiante a re-autenticarse cada pocos dias anade friccion a un entorno ya desafiante.

Google OAuth: la ruta alternativa

Para usuarios con cuentas Google, verificamos el token contra el endpoint tokeninfo de Google y enlazamos cuentas por email para prevenir duplicados.

Codigos de acceso: autenticacion sin telefono

Para organizaciones donde los miembros no tienen telefono ni email: un codigo de acceso de 12 caracteres + un PIN de 4 digitos. Intencionalmente de baja tecnologia.

Este es el articulo 5 de 12 en la serie "Como construimos Deblo.ai".

Share this article:
X / Twitter LinkedIn WhatsApp

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude flin

Componentes empresariales de FlinUI

Cómo los componentes empresariales de FlinUI -- DataGrid, Pivot, OrgChart, Workflow, AuditLog -- aportan elementos UI de nivel SaaS a FLIN sin dependencias de terceros.

10 min Mar 30, 2026
flinrust
Thales & Claude flin

Soporte WebSocket integrado en el lenguaje

Cómo FLIN proporciona soporte nativo de WebSocket a través de bloques de ruta ws: comunicación en tiempo real sin Socket.IO, sin ws, sin un servidor separado.

7 min Mar 30, 2026
flinrust
Thales & Claude flin

Generación de previsualizaciones de archivos

Cómo FLIN genera automáticamente previsualizaciones de miniaturas cuando se suben imágenes -- tres tamaños, salida WebP, almacenamiento direccionable por contenido y cero configuración para el desarrollador.

2 min Mar 30, 2026
flinrust