Back to flin
flin

Guards y middleware de seguridad personalizados

Cómo los desarrolladores de FLIN crean guards y middleware de seguridad personalizados para control de acceso específico de la aplicación -- guards de email verificado, verificaciones de suscripción, restricciones de IP y registro de auditoría.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 3 min flin
EN/ FR/ ES
flinrust

Los nueve guards integrados de FLIN cubren los patrones de control de acceso más comunes: autenticación, roles, limitación de tasa, CSRF, claves API, listas blancas de IP, restricciones de tiempo, propiedad de recursos y filtrado de métodos. Pero las aplicaciones reales tienen requisitos de seguridad específicos del dominio que ningún framework puede anticipar de antemano.

Una aplicación SaaS necesita verificar niveles de suscripción. Una plataforma educativa necesita verificar el estado de inscripción. Una aplicación financiera necesita registro de auditoría en cada mutación. Un sistema multi-tenant necesita asegurar que los usuarios solo accedan a los datos de su propio tenant.

La sintaxis guard_definition de FLIN y el sistema de middleware permiten a los desarrolladores crear estas capas de seguridad personalizadas con la misma API declarativa que los guards integrados.

Definición de guards personalizados

La palabra clave guard_definition crea un nuevo tipo de guard que puede usarse en cualquier lugar donde se usen los guards integrados:

flin// Definir un guard personalizado
guard_definition verified_email {
    user = request.user
    if user == none || !user.emailVerified {
        return response {
            status: 403
            body: { error: "Email verification required" }
        }
    }
}

Use el guard personalizado exactamente como un guard integrado:

flinguard auth
guard verified_email

route POST {
    // Solo usuarios autenticados con email verificado llegan aquí
}

Guards personalizados parametrizados

Los guards personalizados pueden aceptar parámetros para comportamiento configurable:

flinguard_definition subscription(required_plan) {
    user = request.user
    if user == none {
        return response {
            status: 401
            body: { error: "Authentication required" }
        }
    }

    plan_levels = { "free": 0, "starter": 1, "pro": 2, "enterprise": 3 }
    user_level = plan_levels[user.plan] || 0
    required_level = plan_levels[required_plan] || 0

    if user_level < required_level {
        return response {
            status: 403
            body: {
                error: "This feature requires the " + required_plan + " plan",
                current_plan: user.plan,
                required_plan: required_plan,
                upgrade_url: "/pricing"
            }
        }
    }
}

// Uso
guard auth
guard subscription("pro")

route POST {
    // Solo usuarios pro y enterprise
}

Composición de guards

Los guards personalizados se componen naturalmente con los guards integrados usando lógica AND:

flin// Seguridad máxima para operaciones financieras
guard auth
guard role("accountant", "admin")
guard verified_email
guard subscription("enterprise")
guard tenant_member
guard rate_limit(10, 60)
guard time("08:00", "18:00")

route POST {
    // Este endpoint requiere:
    // 1. Autenticación
    // 2. Rol de contador o administrador
    // 3. Dirección de email verificada
    // 4. Suscripción enterprise
    // 5. Membresía de tenant
    // 6. Dentro del límite de tasa
    // 7. Durante horario laboral
}

Siete guards, siete líneas. Cada uno se evalúa en orden. Si alguno falla, la solicitud es rechazada con el código de estado y mensaje de error apropiados.

Esto concluye el Arco 10 -- las funciones de seguridad de FLIN. Diez artículos cubriendo cobertura OWASP Top 10, hashing de contraseñas Argon2, autenticación JWT, limitación de tasa, cabeceras de seguridad, 2FA, OAuth2, WhatsApp OTP, validación de entrada, pruebas de seguridad y guards personalizados. En el Arco 11, entramos en la parte más innovadora de FLIN: el motor de IA e intenciones, donde el lenguaje natural se encuentra con las consultas de base de datos.


Esta es la Parte 115 de la serie "Cómo construimos FLIN", que documenta cómo un CEO en Abidjan y un CTO de IA diseñaron y construyeron un lenguaje de programación desde cero.

Navegación de la serie: - [114] 75 pruebas de seguridad: cómo verificamos todo - [115] Guards y middleware de seguridad personalizados (estás aquí) - [116] El motor de intenciones: consultas de base de datos en lenguaje natural - [117] Búsqueda semántica y almacenamiento vectorial

Share this article:

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

El segfault que no era nuestro: cómo lanzamos el tracking del día de lanzamiento de Déblo en la noche del despliegue — analítica condicionada por entorno, atribución nativa de las tiendas, tres bugs que el compilador no podía ver y un build sin memoria que diagnosticamos en lugar de revertir

El 1 de julio de 2026 — el día del lanzamiento — el riesgo nunca fue el texto. Era que las campañas de pago salieran a ciegas. Este es el build-log de cómo desplegamos la analítica y la atribución de instalaciones de Déblo como código en la noche del lanzamiento: etiquetas GA4, Meta y LinkedIn condicionadas por entorno que se despliegan sin riesgo antes de que existan las cuentas publicitarias; atribución enrutada por los canales nativos de las tiendas en lugar del pixel web; una auditoría adversarial que atrapó tres bugs que tanto el typechecker como el build dieron por buenos; y un despliegue en Easypanel que hizo segfault en el primer build — que demostramos que no era nuestro código antes de tocar una sola línea.

18 min Jul 1, 2026
deblolaunch-dayclaude-opus-4.8claude-code +26
Thales & Claude thales

Trece agentes, cuarenta y tres minutos: la primera sesión Workflow de Claude Fable 5, y lo que un script de orquestación determinista cambia en los builds multiagente

Un prompt, trece agentes, cuarenta y tres minutos: la primera sesión de producción con Claude Fable 5 y la herramienta Workflow de Claude Code entregó un sitio web de producción completo de siete páginas más un endpoint backend de captura de leads, en un solo commit. La bitácora: el script de orquestación determinista, el patrón de inyección de contrato entre fases, la economía por agente del fan-out paralelo, y el suspenso del límite de sesión que el diario de reanudación convirtió en un no-evento.

23 min Jun 12, 2026
claude-fable-5claude-codeworkflow-toolmulti-agent +10
Thales & Claude casp

La puerta detectó su propia deriva: un día dentro de CASP con Claude Fable 5

Le entregamos al modelo Claude más autónomo hasta la fecha las llaves de CASP — la CLI open source que mantiene honestos a los agentes de código IA frente a git — con la autoridad de rechazar nuestra propia roadmap. Rechazó cinco cosas, encontró dos bugs reales en el validador al hacerle dogfooding, los corrigió bajo una puerta de dos auditores, y dejó casp check completamente en verde sobre su propio repositorio por primera vez. CASP 0.3.0 es el resultado.

15 min Jun 10, 2026
caspzerosuiteworkflowai-cto +9