Introducción
Contexto SPIN
SPIN by OXXO nace y crece de manera acelerada. Entre los diversos retos que tiene en su evolución del producto y mejorar la experiencia de sus usuarios, hoy su proceso de autorización de transacciones interbancarias o inter usuarios es validada con un código de seguridad.
Buscan mejorar la experiencia que se tiene con el código de seguridad por dos razones principales:
Incrementar la seguridad migrando del código de seguridad a un token digital
Mitigar la problemática existente de bloqueo de transacciones por olvido de código de seguridad y no contar con un proceso de reseteo del mismo.
Objetivo general
Construir, en una primera fase, el desarrollo del motor generador de un token y, en una fase posterior, integrarlo con las pantallas del nuevo flujo para el front-end para autorización de transacciones vía el token digital para:
usuarios nuevos, en su onboarding habilitar su token
usuarios existentes, hacer su reemplazo de código de seguridad por token
usuarios hoy con código de seguridad bloqueado, resetear y habilitar su token
Índice
Propuesta de solución
Una vez iniciado el proyecto, el equipo comenzó a analizar y diseñar las bases en las que estaríamos trabajando y lograr el objetivo principal. Para ello, dedicamos tiempo en entender la solución enconjunto con el equipo involucrado en SPIN principalmente.
Se identificaron los siguientes componentes a desarrollar en el tiempo:
Marco tecnológico
Protocolo gRPC
En gRPC, una aplicación cliente puede llamar directamente a un método en una aplicación de servidor en una máquina diferente como si fuera un objeto local, lo que facilita la creación de aplicaciones y servicios distribuidos. Como en muchos sistemas RPC, gRPC se basa en la idea de definir un servicio, especificando los métodos que se pueden llamar de forma remota con sus parámetros y tipos de devolución. En el lado del servidor, el servidor implementa esta interfaz y ejecuta un servidor gRPC para manejar las llamadas de los clientes. En el lado del cliente, el cliente tiene un stub (denominado simplemente cliente en algunos idiomas) que proporciona los mismos métodos que el servidor.
Los clientes y servidores de gRPC pueden ejecutarse y comunicarse entre sí en una variedad de entornos, desde servidores dentro de Google hasta su propio escritorio, y pueden escribirse en cualquiera de los lenguajes compatibles con gRPC. Entonces, por ejemplo, puede crear fácilmente un servidor gRPC en Java con clientes en Go, Python o Ruby. Además, las últimas API de Google tendrán versiones gRPC de sus interfaces, lo que le permitirá incorporar fácilmente la funcionalidad de Google en sus aplicaciones.
¿Por qué querría usar gRPC?
Los principales escenarios de uso:
Sistemas distribuidos de baja latencia y altamente escalables.
Desarrollo de clientes móviles que se comunican con un servidor en la nube.
Diseñar un nuevo protocolo que debe ser preciso, eficiente e independiente del idioma.
Diseño en capas para permitir la extensión, por ejemplo. autenticación, balanceo de carga, registro y monitoreo, etc.
¿Quién está usando esto y por qué?
gRPC es una base de computación nativa en la nube(Proyecto CNCF).
Google ha estado usando muchas de las tecnologías y conceptos subyacentes en gRPC durante mucho tiempo. La implementación actual se está utilizando en varios de los productos en la nube de Google y en las API externas de Google. También está siendo utilizado por Square, netflix, CoreOS, ventana acoplable, CucarachaDB, cisco, Redes de enebroy muchas otras organizaciones e individuos e incluso en el sector fianciero y bancario.
Fuente: https://grpc.io/docs/what-is-grpc/introduction/ | gRPC
Protocolo REST
¿Qué es REST?
La transferencia de estado representacional (REST) es una arquitectura de software que impone condiciones sobre cómo debe funcionar una API. En un principio, REST se creó como una guía para administrar la comunicación en una red compleja como Internet. Es posible utilizar una arquitectura basada en REST para admitir comunicaciones confiables y de alto rendimiento a escala. Puede implementarla y modificarla fácilmente, lo que brinda visibilidad y portabilidad entre plataformas a cualquier sistema de API.
Los desarrolladores de API pueden diseñar API por medio de varias arquitecturas diferentes. Las API que siguen el estilo arquitectónico de REST se llaman API REST.
Pruebas automatizadas con Rest Assured
REST Assured es un DSL de Java para simplificar las pruebas de servicios basados en REST construidos sobre HTTP Builder. Admite solicitudes POST, GET, PUT, DELETE, OPTIONS, PATCH y HEAD y se puede utilizar para validar y verificar la respuesta de estas solicitudes.
Fuente: https://github.com/rest-assured/rest-assured/wiki/Usage
K6
¿Qué es k6?
Grafana k6 es una herramienta de pruebas de carga de código libre que hace fácil a equipos de software testear el rendimiento de sus aplicaciones.
Con k6, puedes testear la fiabilidad y rendimiento de aplicaciones e identificar regresiones y errores más tempranamente. k6 te ayudará a construir aplicaciones rápidas y robustas que puedan escalar.
Casos de uso
Los usuarios de k6 suelen ser desarrolladores, ingenieros de control de calidad y DevOps. Ellos utilizan k6 para probar el rendimiento de las APIs, los microservicios y los sitios web. Los casos de uso más comunes de k6 son:
Pruebas de carga. k6 está optimizado para un consumo mínimo de recursos del sistema y diseñado para ejecutar pruebas con alta carga (spike, stress, soak tests) .
Browser testing. Con k6 browser, puedes interactuar con el navegador para validar la interfaz web o rendimiento. Ejecuta browser tests juntos o separados de otros tests de carga.
Pruebas de chaos. Puede utilizar k6 para simular tráfico como parte de sus experimentos de chaos, lanzarlos desde el script de k6 o injectar fallos en Kubernetes con xk6-disruptor.
Monitoreo del rendimiento. Con k6, puede automatizar la ejecución de tests frequentemente con una pequeña cantidad de carga para supervisar continuamente el rendimiento y disponibilidad de su entorno de producción.
¿Qué no hace k6?
k6 es una herramienta de pruebas de carga de alto rendimiento, que se puede programar en JavaScript. El diseño de la arquitectura para tener estas capacidades trae algunas compensaciones:
No ejecuta nativamente en un navegador
Por defecto, k6 no renderiza las páginas web de la misma manera que lo hace un navegado. Los navegadores pueden consumir muchos recursos del sistema. No usando el navegador, nos permite ejecutar tests de más carga en una misma máquina. Sin embargo, con k6 browser, puedes interactuar con navegadores reales y monitorizar métricas del frontend en tus tests de k6.
No se ejecuta en NodeJS. Por lo general, JavaScript no es adecuado para obtener un alto rendimiento. Para lograr el máximo rendimiento, la herramienta en sí está escrita en Go, incorporando un tiempo de ejecución de JavaScript que permite un fácil scripting de pruebas. Si quieres importar módulos npm o librerías usando las APIs de NodeJS, puedes empaquetar módulos npm con webpack e importarlos en tus pruebas.
Fuente: https://k6.io/docs/es/#que-es-k6
Entregables
A continuación, enlistaremos los entregables comprometidos para este proyecto y la documentación que dejamos como referencia para dar contexto e incluso la continuidad de la siguiente fase de implementación en los procesos que así lo considere SPIN.
Lo que podrán encontrar son los diseños de arquitectura, códigos fuente, documentación específica entre otros.
Token Digital
El Token Digital está compuesto de los siguientes componentes, los cuales se conectan al servicio de agregación que es el que se expone para ser consumido de acuerdo con los intereses que así lo considere SPIN.
A continuación dejamos el diagrama de arquitectura que muestra la conexión entre componentes que brinda nuestra solución:
El detalle de los componentes los encontrarán en las siguientes URLs:
Servicio | URL |
|---|---|
Aggregation Service | |
Token Service | |
HSM Adapater Service | |
Token Activation Service |
Autorización desde app web
Para implementar este flujo es necesario que la aplicación tenga una funcionalidad que permita generar un token digital y presentárselo al usuario para que lo ingrese en otro medio, por ejemplo una PWA. Los pasos a seguir son los siguientes:
Autenticación desde la página web y pantalla de solicitud de Token digital.
Generación de token digital en el dispositivo.
Validación de token digital y generación de token de autorización de acción protegida.
Validación de token de autorización de acción protegida y ejecución de acción protegida.
Mock del cliente
Se construyó un mock para realizar pruebas de desarrollo emulando un cliente de la aplicación.
Herramienta usada: Vue 2.
Escenario | Descripción | URL |
|---|---|---|
Escenario básico | Este escenario agrupa las funcionalidades básicas para usar token digital desde un dispositivo | |
Escenario PWA | En éste escenario se usa el dispositivo para generar el TOTP y la validación se realiza en la PWA | https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2385477827/Mock+cliente#Escenario-PWA |
Escenario de Autenticación vía OTP | Es este escenario el TOTP es generado y validado directamente por el servidor, para ello se transfiere al usuario el TOTP a través de un tercer factor de autenticación. |
Entregas parciales por sprint
Nuestro proyecto fue planetado realizarse en un tipo de 12 sprints dividios en sprint de 2 semanas cada uno, con el objetivo de entregar valor a través del trabajo comprometido en el equipo.
Es por ello que, en elsiguiente link encontrarán los objetivos comprometidos y los entregables que evidencian nuestras entregas parciales e incrementales: Sprint Review - Token Digital
Asimismo, se realizaron 2 revisiones de avances para dar seguimiento estratégico a los principales stakeholders y sponsors del proyecto.
Documentación adicional
Documento | Descripción | URL | Aprobador |
|---|---|---|---|
Diagramas de Arquitectura (C4, primeros 2 niveles) | Conjunto de diagramas que describen los componentes del proyecto. | Miguel C | |
Diagramas de secuencia | Esquemas conceptuales que representa el comportamiento del sistema del proyecto. | Miguel C | |
Configuración para iniciar microservicio | Serie de valores que permiten administrar la configuración de los microservicios desarrollados. | Miguel C | |
Postman de los servicios | Colecciones de lo que se ha desarrollado para automatizar, configurar pruebas y comprobar el correcto funcionamiento. | Jessy Schuler | |
Documentación de endpoints | En formato Swagger documentar los endpoints desarrollados para el proyecto. | Miguel C + JC del Villar | |
Diccionario de datos - MongoDB | Listado de nombres, definiciones y características de los campos y atributos de la base de datos a utilizar para el proyecto. | Miguel C | |
Plan de pruebas | Plan de pruebas donde se describen el detalle de las pruebas a ejecutarse en el proyecto. | Dorian Romero | |
Casos de prueba | Identificar en los casos de prueba del proyecto las etiquetas que permitan la ejecución del set de pruebas correspondiente en formato CSV | Dorian Romero | |
Ejecución de pruebas | Evidencia del proceso de pruebas ejecutado para el proyecto con los resultados arrojados. - Scripts de pruebas automatizadas (REST + gRPC), resultados y evidencias | Hugo Flores | |
Diagramas de infraestructura | Diagramas que permitan comprender la infraestructura del proyecto para que se pueda administrar, mejorar y mantener seguro. | Ricardo P + Miguel C | |
Capacidades de microservicios (pods) | Conocer la proyección de consumo de los endpoints del proyecto. | Mario Mendez | |
Métricas para monitoreo de infraestructura (logs para crear dashboards) | Los servicios del proyecto estarán reportando su estado mediante dos vías: reporte de logs y reporte de métricas. | Mario Mendez | |
Métricas para monitoreo de negocio/semántico | Planificar de acuerdo con los objetivos o estrategia de la funcionalidad del negocio. | Mario Mendez |
Estrategia y ejecución de pruebas
Plan de estrategia
Para lograr los resultados esperados y considerar casos positivos y negativos se realizó una estrategia de pruebas para garantizar el uso correcto del framework de QA que se tiene en SPIN, nuestros desarrollos llegarán hasta staging, por lo que garantizar que funcione de acuerdo con lo diseñado, es de suma importancia para este proyecto.
Consulta el detalle del Plan de estrategia: Estrategia de Pruebas - Token Digital
Secciones del plan de prueba
Sección | Descripción | URL |
|---|---|---|
Casos de prueba | Los casos de prueba son los escenarios que se utilizan para medir la funcionalidad de la aplicación a través de un conjunto de ciertas acciones o condiciones para verificar los resultados esperados. | |
Automatización de pruebas | Es el proceso de utilizar herramientas de software que ejecutan software recién desarrollado o actualizaciones a través de una serie de pruebas para identificar posibles errores de codificación, cuellos de botella y otros obstáculos para el rendimiento. | |
Pruebas de rendimiento | Evalúan el rendimiento de un sistema con una carga de trabajo determinada. Ayudan a medir la fiabilidad, la velocidad, la escalabilidad y la capacidad de respuesta de una aplicación. |
Ejecución de pruebas
Tipo de prueba | Resultados |
|---|---|
Pruebas Automatizadas | |
Pruebas de Rendimiento |
Transferencia de conocimiento (KT)
Con la finalidad de garantizar el éxito de la entrega de los compromisos de este proyecto, compartimos el material que se trabajó en nuestro periodo de transferencia de conocimiento con el propósito de mostrar el resultado de lo trabajado.
Roadmap
Para más detalle: Transferencia de conocimiento - Token Digital
Dificultades encontradas
Conclusiones generales
PALO-461 - Getting issue details... STATUS
Add Comment