Page Comparison

...

Este flujo reutiliza el mecanismo de validación mediante token que sigue actualmente la validación mediante PIN, que aparece a continuación

...

Otros flujos propuestos

Autorización desde PWA

Para implementar éste flujo es necesario que la aplicación tenga una funcionalidad que permita generar on token digital y presentárselo al usuario para que lo ingrese en otro medio, por ejemplo una PWA. los pasos a seguir son los siguientes:

1. Autenticación desde la página web y pantalla de solicitud de Token digital.

2. Generación de token digital en el dispositivo.

3. Validación de token digital y generación de token de autorización de acción protegida.

4. Validación de token de autorización de acción protegida y ejecución de acción protegida.

Image Added

Vinculación detallada

En caso que al momento de realizar la vinculación no se haya validado el dispositivo, se realiza una confirmación mediante el envío de un código de activación enviado al usuario mediante OTP (En el diagrama actual se propone encapsular la funcionalidad asociada al envío de OTP en un único servicio llamado otp-service). Después de verificarse el dispositivo, la vinculación seguirá como se mencionó anteriormente.

...

Se contempló un escenario en caso que la aplicación o página web no almacenara ninguna información sobre el token. En éste escenario, cuando un usuario desea realizar una acción protegida se solicita la generación de TOTP a los servicios de token -service digital y posteriormente se envía al dispositivo mediante OTP para ser ingresada a la aplicación , del cliente y continuar con el flujo de autorización visto previamente. De usar éste escenario desde Spin se sugiere utilizar Push Notification como mecanismo de OTP para no deteriorar la experiencia del usuario.

...

. Debido a que los servicios de token digital requieren la validación del dispositivo enrolado, es necesario que sean los servicios consumidores los que identifiquen el dispositivo para su validación.

...