---
id: RNF-AUTH-001
title: "Requerimientos No Funcionales - Autenticacion"
type: "Non-Functional Requirement"
epic: OQI-001
version: "1.0.0"
created_date: "2026-02-06"
---

# RNF-AUTH-001: Requerimientos No Funcionales - Autenticacion

## Seguridad
- Passwords hasheados con bcrypt (cost factor >= 12)
- JWT access tokens expiran en 15 minutos
- Refresh tokens expiran en 7 dias
- Rate limiting: 5 intentos login / 15 min, 3 registros / hora
- 2FA TOTP con backup codes (10 codes, single use)
- OAuth tokens encriptados en reposo

## Rendimiento
- Login response < 500ms (p95)
- Token refresh < 200ms (p95)
- OAuth callback < 2s (incluye exchange con provider)

## Disponibilidad
- Auth service: 99.9% uptime
- Graceful degradation: si Redis falla, fallback a DB sessions

## Escalabilidad
- Soportar 1000 logins concurrentes
- Session storage horizontal via Redis cluster

## Compliance
- OWASP Top 10 mitigado
- Audit log de todos los auth events