Saltar a contenido

ADR-002: Firebase Auth para Autenticacion

Estado: PROPUESTO Fecha: 2025-12-07 Autor: SecurityDrone (MTS-DRN-SEC-001) Revisores: SpecQueen, Director

1. Contexto

MedTime requiere un sistema de autenticacion robusto que soporte:

  • Multi-factor authentication (MFA) para compliance HIPAA
  • Social login (Google, Apple)
  • Gestion segura de sesiones
  • Recuperacion de cuenta
  • Time-to-market rapido

2. Decision

Adoptamos Firebase Authentication como proveedor de autenticacion principal.

2.1. Configuracion

firebase_auth:
  providers:
    - email_password
    - google
    - apple
  mfa:
    enabled: true
    methods: [sms, totp]
  session:
    duration: 1h
    refresh: true

3. Consecuencias

3.1. Positivas

  • Seguridad probada: Millones de usuarios, auditorias continuas
  • MFA integrado: SMS, TOTP, phone auth
  • SDKs nativos: iOS, Android, Web
  • Compliance: SOC 2, ISO 27001, HIPAA-eligible
  • Rapido de implementar: < 1 semana para setup basico

3.2. Negativas

  • Vendor lock-in: Dependencia de Google Cloud
  • Costo: Costos escalan con usuarios (pero predecibles)
  • Limitaciones: Algunas features avanzadas requieren upgrade

3.3. Riesgos

  • Disponibilidad: Depende de uptime de Firebase
  • Mitigacion: Firebase SLA 99.95%, offline tokens

4. Alternativas Consideradas

4.1. Auth0

  • Rechazado porque: Mas costoso, features similares

4.2. Custom Auth (JWT)

  • Rechazado porque: Riesgo de seguridad, tiempo de desarrollo

4.3. Supabase Auth

  • Rechazado porque: Menos maduro, menos features de MFA

5. Referencias

ADR generado por SecurityDrone - IT-01