OAuth

OAuth (Open Authorization) es un protocolo estándar abierto que permite que aplicaciones de terceros accedan a los datos de un usuario en otro servicio sin requerir que el usuario entregue su contraseña. En lugar de compartir credenciales directamente, el usuario se autentica con el servicio original (como Google o Stripe) y otorga a la aplicación solicitante un token de acceso limitado. Ese token especifica exactamente lo que la aplicación puede hacer — leer una hoja de cálculo específica, escribir en una carpeta particular, procesar pagos — y el usuario puede revocarlo en cualquier momento. OAuth 2.0 es la versión actual utilizada por prácticamente todos los principales servicios web, y es la base de los flujos "Iniciar sesión con Google" y "Conectar tu cuenta" que ahora son estándar en la web.

Sin OAuth, conectar dos servicios requeriría compartir tus credenciales de inicio de sesión con la aplicación de terceros — un serio riesgo de seguridad que daría a esa aplicación acceso completo e irrestricto a tu cuenta. OAuth resuelve esto creando un modelo de delegación controlada. La aplicación de terceros recibe solo los permisos específicos que necesita, durante el tiempo que tú lo permitas. Si la aplicación se ve comprometida, los atacantes obtienen un token limitado en lugar de tu contraseña. Para los editores digitales que dependen de múltiples herramientas — plataformas de análisis, servicios de marketing por correo electrónico, procesadores de pago, integraciones con hojas de cálculo — OAuth es el mecanismo que hace que esas conexiones sean seguras y manejables sin crear una red de contraseñas compartidas.

FlipLink utiliza autorización basada en OAuth al conectarse a servicios de terceros a través de la función [automatización e integraciones](/features/automation-and-integrations). Cuando configuras la [integración con Google Sheets](/integrations/google-sheets), por ejemplo, eres redirigido a la pantalla de consentimiento de Google donde autorizas a FlipLink a escribir datos de leads en una hoja de cálculo específica. FlipLink recibe un token de acceso con alcance limitado — puede escribir en esa hoja pero no puede leer tu correo electrónico, acceder a tus archivos de Drive ni realizar ninguna acción fuera del permiso otorgado. La [integración con Stripe](/integrations/stripe) funciona de manera similar: autorizas a FlipLink a procesar pagos en tu nombre a través del flujo OAuth de Stripe, y FlipLink nunca almacena ni ve tu contraseña de Stripe. Todos los tokens se almacenan de forma segura y pueden ser revocados tanto desde el panel de FlipLink como desde la configuración del servicio de terceros.

OAuth 2.0 define varios tipos de concesión, cada uno adecuado para un escenario de integración diferente: - **Authorization Code Grant**: El flujo más común para aplicaciones del lado del servidor. El usuario es redirigido al servidor de autorización (ej. Google), otorga permiso y recibe un código de autorización que la aplicación intercambia por un token de acceso. Este es el flujo que FlipLink utiliza para las integraciones con Google Sheets y Stripe. - **Client Credentials Grant**: Utilizado para comunicación servidor a servidor donde no se necesita interacción del usuario. La aplicación se autentica directamente con sus propias credenciales. - **Refresh Tokens**: Los tokens de acceso tienen una vida útil corta por diseño (típicamente 1 hora). Un refresh token permite a la aplicación solicitar un nuevo token de acceso sin requerir que el usuario vuelva a autorizar. Por eso tus integraciones de FlipLink siguen funcionando sin que necesites reconectar cada día. Cada token lleva un alcance definido — un conjunto de permisos que limita lo que la aplicación puede hacer. Un token con alcance "spreadsheets.write" no puede leer correos electrónicos ni acceder a archivos fuera de la hoja autorizada. Este principio de mínimo privilegio es central en el modelo de seguridad de OAuth.

OAuth es seguro por diseño, pero su seguridad depende de una implementación correcta por todas las partes involucradas: - **Almacenamiento de tokens**: Los tokens de acceso y refresh deben almacenarse de forma segura en el lado del servidor, nunca expuestos en código del lado del cliente o en URLs. FlipLink almacena todos los tokens de integración encriptados en sus servidores. - **Limitación de alcance**: Las aplicaciones deben solicitar solo los permisos mínimos necesarios. FlipLink solicita acceso de escritura a una hoja de cálculo específica, no acceso amplio a toda tu cuenta de Google. - **Revocación de tokens**: Los usuarios deben revisar periódicamente qué aplicaciones tienen acceso a sus cuentas. Tanto Google como Stripe proporcionan paneles donde puedes ver y revocar aplicaciones autorizadas. - **Requisito [HTTPS](/glossary/https)**: Todos los flujos OAuth deben ocurrir sobre HTTPS para prevenir la interceptación de tokens durante el proceso de autorización. FlipLink aplica HTTPS para todas las comunicaciones API y callbacks de integración. - **Riesgo de phishing**: Los atacantes a veces crean pantallas de autorización falsas que imitan servicios legítimos. Siempre verifica que estés en el dominio real del servicio (accounts.google.com, no goog1e-auth.com) antes de otorgar permisos.

**¿Qué sucede si revoco un token OAuth?** La integración deja de funcionar inmediatamente. Por ejemplo, si revocas el acceso de FlipLink a tu Google Sheets desde la configuración de tu cuenta de Google, los nuevos leads ya no se sincronizarán con la hoja de cálculo. Puedes reconectar en cualquier momento volviendo a autorizar desde el panel de FlipLink. **¿FlipLink almacena mi contraseña de Google o Stripe?** No. OAuth está diseñado específicamente para evitar compartir contraseñas. FlipLink recibe solo un token de acceso con permisos limitados. Tus contraseñas permanecen exclusivamente con Google y Stripe. **¿Puedo limitar lo que FlipLink puede acceder en mi cuenta de Google?** Sí. Durante el flujo de autorización OAuth, la pantalla de consentimiento muestra exactamente qué permisos FlipLink está solicitando. FlipLink solicita solo el alcance mínimo necesario — típicamente acceso de escritura a una sola hoja de cálculo. No puede acceder a tu correo electrónico, calendario u otros servicios de Google.