“Limited Secrets”, funcionalidad de Latch

  • 1
  • Idea
  • Updated 10 months ago
Dentro de la web de la comunidad de los desarrolladores:

https://latch.elevenpaths.com/www/
Iniciamos como desarrollador......



En el desarrollo de una aplicación de Latch, disponemos de un identificador de aplicación (appId) y un secreto.
Éste par de claves nos permiten firmar las peticiones realizadas a la API, para garantizar que somos los dueños legítimo de dicha aplicación.
Existen múltiples escenarios donde dicho secreto puede estar en riesgo por un tercero: aplicaciones de escritorio, aplicaciones móviles, etcétera.



En estos escenarios, un secreto comprometido podría permitir a un posible atacante realizar operaciones de la API no deseadas por el desarrollador, para evitarlo y poder seguir ofreciendo las funcionalidades de Latch en estos escenarios nacen los “Limited Secrets” ó secretos limitados.
Se pueden crear, para cada aplicación dentro de su configuración, hasta un máximo de 3 secretos con un alcance limitado. Estos secretos se utilizan de la misma forma que el secreto maestro, pero solo pueden usarse para firmarse aquellas peticiones para las que se han configurado.

Los secretos limitados pueden contener uno o varios de los siguientes permisos:

Estado: Permite realizar llamadas de estado a la API, para conocer el estado de un Latch.

Pareados: Permite las llamadas de pareado y despareado de un usuario.


Soporte: Permite las llamadas de soporte de la API para bloquear y desbloquear “latches”.


Histórico: Consultar el histórico de acciones de un servicio.


Operaciones: Otorga accesos para las llamadas de gestión de operaciones. Esta gestión posibilita la creación, edición, consulta y eliminación de operaciones.


Instancias: Acceso a las llamadas de gestión de instancias. Que posibilita la creación, edición, consulta y eliminación de instancias. Para consultar el estado de una instancia se utiliza el permiso 'ESTADO' y para modificar su estado 'SOPORTE'.



En este ejemplo secreto limitados, únicamente dispone de permisos de “Estado” y “Pareados”.


Si quisiéramos distribuir un componente software, que incluya funcionalidad de Latch y que únicamente va a realizar acciones de Pareado/Despareado o consultar el estado de un Latch podemos hacerlo con Secreto Limitado con permisos sólo para estas funcionalidades.

Cabe reseñar que aunque se distribuyan secretos con estos permisos, para realizar llamadas como desparear a un usuario o conocer el estado de su Latch se necesita otro factor adicional que es su “Account ID” con Latch.
Photo of Juan C.Vigo L.

Juan C.Vigo L.

  • 2,790 Points 2k badge 2x thumb

Posted 10 months ago

  • 1

Be the first to post a reply!