Trumi

Como se integra

Trumi OTP se integra como un servicio externo. No requiere cambios en tu sistema de autenticacion ni en tu modelo de usuarios.

1. Tu backend solicita el OTP

Server-side

Tu servidor llama al API de Trumi con HMAC-SHA256. El usuario recibe el codigo por email o SMS.

Las claves API nunca salen de tu servidor.

2. El usuario ingresa el codigo

Client-side

Una pagina publica (o tu propia UI) recibe el codigo. No se requieren claves ni firmas.

El frontend solo envia el codigo al endpoint de verificacion.

3. Trumi emite un assertion token

API response

Tras validar el codigo, Trumi devuelve un token criptografico firmado con la clave de tu tenant.

El token tiene TTL corto y nonce anti-replay.

4. Tu backend decide

Server-side

Validas el token (local con HMAC o via API) y decidis que hacer: crear sesion, elevar permisos, o autorizar una accion.

Trumi nunca crea sesiones. Vos controlas la autenticacion.

Arquitectura

Tres capas independientes con responsabilidades claras.

Tu Frontend

Formulario de OTPMuestra resultado

Tu Backend

Solicita OTP (HMAC auth)Valida assertion tokenCrea sesion / autoriza

Trumi OTP API

Genera y envia codigosVerifica codigosEmite assertion tokens

Limites de seguridad

Lo que Trumi maneja

  • Generacion y envio de codigos
  • Validacion de codigos
  • Emision de assertion tokens
  • Rate limiting y TTL

Lo que tu controlas

  • Creacion de sesiones de usuario
  • Gestion de identidades
  • Autorizacion y permisos
  • Almacenamiento de evidencia