Pre-autenticación con token JWT
Rapicompra arma un token JWT con la siguiente información
commerce_id - ID del comercio
user_id - ID del usuario logueado del comercio
exp - Fecha de Vencimiento del Token
redirect_url - URL para el callback final
El JWT deber firmarlo Rapicompra con una clave privada
Accicom puede validar la firma con la llave pública, además del vencimiento del token y el formato de los datos.
Se rechaza la solicitud si el token está expirado, la firma es inválida o si faltan datos obligatorios.
Ejemplo de URL
Rapicompra construye una URL con el JWT firmado y redirige la navegación hacia ahí:
https://accicom.com/onboarding?token=eyJhbGciOiJSUzI1NiIs ...
De esta forma Accicom usa esta información para autenticar un usuario personalizado en el IDP propio y renderiza la página.
Una vez terminado el proceso de verificación del cliente y la solicitud del préstamo, Accicom redirecciona la navegación a la redirect_uri del token JWT
Auditoría y Seguridad
Cada solicitud autenticada se registra en DynamoDB con la siguiente información:
commerce_id - id del comercio
user_id - id del usuario logueado del comercio
identity_id - id de Cognito
timestamp - momento de redirección
Buenas prácticas de seguridad
El JWT firmado con clave RSA256 y con duración corta (5-10 min)
No se exponen secretos en URLs (solo tokens firmados)
Verificación de firma y expiración siempre del lado del backend de Accicom.
No aceptar redirecciones sin token válido.
