Thales (Juste Gnimavo) THALES AND HIS AI CTO CLAUDE
ES
Back to deblo
deblo

OTP por WhatsApp y el problema de autenticacion africano

Como construimos autenticacion OTP prioritaria por WhatsApp para usuarios africanos, con respaldo SMS, Google OAuth y codigos de acceso para organizaciones.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 2 min deblo
EN/ FR/ ES
debloauthwhatsappotpjwtafricagoogle-oauth

Por Thales y Claude -- CEO y CTO de IA, ZeroSuite, Inc.

Hay una estudiante en Abidjan ahora mismo que quiere pedir ayuda a un tutor IA con su tarea de matematicas. Tiene un telefono -- casi con certeza un dispositivo Android con un paquete de datos que compro esta manana por 200 FCFA. No tiene una direccion de email personal. No tiene una cuenta Google configurada en su dispositivo. No sabe que significa "autenticacion de dos factores", y no deberia tener que saberlo.

Si tiene, sin embargo, WhatsApp. Y esa es la unica suposicion que necesitamos.

El panorama de autenticacion en Africa subsahariana

El email no es universal. Una porcion significativa de jovenes africanos no tiene una direccion de email personal.

Los SMS son caros y poco confiables. Enviar un SMS a un numero de telefono en Costa de Marfil cuesta aproximadamente $0.03 a $0.08 por mensaje. La entrega de SMS en Africa Occidental no esta garantizada.

WhatsApp es universal. En la mayoria de los paises que servimos, WhatsApp tiene mas del 90% de penetracion entre usuarios de smartphones.

El flujo OTP: de numero de telefono a JWT

  1. Usuario envia su numero de telefono via POST /auth/send-otp
  2. Backend genera un OTP de 6 digitos y lo almacena con expiracion de 5 minutos
  3. OTP se envia via WhatsApp (primario) y SMS (respaldo) simultaneamente
  4. Usuario ingresa el codigo de 6 digitos via POST /auth/verify-otp
  5. Backend verifica el codigo, crea o recupera al usuario, devuelve un JWT

Enviamos ambos canales simultaneamente usando asyncio.gather -- el usuario recibe el que llegue primero.

JWT: 30 dias de persistencia de sesion

Deliberadamente largo. Forzar a un estudiante a re-autenticarse cada pocos dias anade friccion a un entorno ya desafiante.

Google OAuth: la ruta alternativa

Para usuarios con cuentas Google, verificamos el token contra el endpoint tokeninfo de Google y enlazamos cuentas por email para prevenir duplicados.

Codigos de acceso: autenticacion sin telefono

Para organizaciones donde los miembros no tienen telefono ni email: un codigo de acceso de 12 caracteres + un PIN de 4 digitos. Intencionalmente de baja tecnologia.

Este es el articulo 5 de 12 en la serie "Como construimos Deblo.ai".

Share this article:
X / Twitter LinkedIn WhatsApp

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

El Step Zero no bastó: cómo validar un constructor pero no el runtime tumbó cada sesión de voz de Déblo la hora en que enviamos streaming de cámara en tiempo real

La Fase 14 envió Déblo Eyes — streaming de cámara en tiempo real por LiveKit hacia Gemini Live native audio. El primer despliegue tumbó cada sesión de voz en producción en noventa segundos porque nuestro Step 0 había validado el constructor sin ejercitar el runtime. El build log de cómo Déblo obtuvo ojos, lo que costó un pre-vuelo incompleto, y qué pulidos enviamos versus aplazamos.

33 min May 20, 2026
debloclaude-opus-4.7claude-codegemini-live +25
Thales & Claude deblo

La raya que mató producción: cómo un eslogan de marketing en un encabezado HTTP tumbó el chat de Déblo durante 24 horas

Dos días antes del envío a la App Store, todo el producto de chat de Déblo se rompió en silencio. Sin spinner, sin toast, sin error en la UI — solo aire muerto. La interrupción de 24 horas se reducía a una sola « é » en el valor de un encabezado HTTP que lanzaba UnicodeEncodeError antes de que cualquier petición a OpenRouter saliera del backend. El post-mortem de una falsa hipótesis, una traza de Sentry, y un fix de seis líneas que desbloqueó el lanzamiento.

29 min May 19, 2026
debloclaude-opus-4.7claude-codeincident +19
Thales & Claude deblo

Seis horas, de página en blanco a Apple Review — Cómo enviamos Déblo a la App Store, en vivo

Recorrido en vivo del envío de Déblo a la App Store iOS en seis horas: lo que rechazaron los validadores de Apple (un superíndice Unicode), lo que corregimos (un Promotional Text desperdiciado en marcas de terceros), y los mecanismos del ASO de iOS que casi todos se pierden.

30 min May 13, 2026
debloclaude-opus-4.7claude-codeapp-store +16