Sistema de Autenticacion: Login, Registro y Login Social (Google)

¿Necesitas ayuda? Escriba su cadena de búsqueda. Se requiere un mínimo de 4 caracteres.

Tabla de contenidos

1. Metodos de autenticacion
2. Flujo de registro con email
- 2.1 Que pasa en la base de datos
3. Registro de menores de edad (Alumnos CIA)
4. Flujo de login con Google (Social Login)
5. Login normal (usuario existente)
6. Recuperacion de contrasena
7. Gestion de sesiones
8. Seguridad
9. Emails del sistema
10. Referencia

Nivel: N4 – CCO / Desarrollo
Instructivo completo del sistema de autenticacion del ERP: registro, login, recuperacion de contrasena, login social (Google), sesiones y seguridad. Tecnologia: Supabase Auth.

Referencia: Esquema BD Nucleo 1 | Diseno de Interfaz (Sec 3.1 y 3.2) | Identidad Visual

1. Metodos de autenticacion

El ERP ofrece dos formas de entrar. Ambas crean la misma cuenta en Supabase Auth y el mismo perfil en public.profiles:

Metodo	Como funciona	Para quien	Ventaja
Email + Contrasena	El usuario escribe su correo y crea una contrasena	Cualquiera	No depende de terceros. Funciona con cualquier correo
Google (Social Login)	Un clic en «Continuar con Google». Se autentica con su cuenta Gmail	Cualquiera con Gmail	Sin contrasena. Mas rapido. Foto de perfil automatica

IMPORTANTE: Si un usuario se registra con Google y luego intenta entrar con email/contrasena (o viceversa) usando el mismo correo, Supabase los unifica automaticamente. No se crean cuentas duplicadas.

2. Flujo de registro con email

Paso	Pantalla	Que pide	Que pasa por detras
1	Formulario de registro	Email, nombre, apellido	Validacion: email unico, formato correcto
2	Crear contrasena	Contrasena + confirmar contrasena	Requisitos: minimo 8 caracteres, 1 mayuscula, 1 numero. Indicador de fortaleza visual
3	Verificacion de email	Codigo de 6 digitos enviado al correo	Supabase envia email automaticamente. Expira en 24 horas. Boton «Reenviar codigo»
4	Completar perfil (opcional)	Foto, fecha nacimiento, telefono, direccion	Se puede saltar. Barra de completitud muestra «Tu perfil esta al 40%»
5	Bienvenida	—	Tour guiado del dashboard (tooltips interactivos). Redirige a «Mi Panel»

2.1 Que pasa en la base de datos

Usuario llena formulario
        │
        ▼
supabase.auth.signUp({        ← Supabase Auth crea el usuario
  email, password,
  options: { data: { nombre, apellido } }
})
        │
        ▼
auth.users → nueva fila       ← UUID generado automaticamente
        │
        ▼
TRIGGER on_auth_user_created   ← Se dispara automaticamente
        │
        ▼
public.profiles → nueva fila  ← Copia UUID, email, nombre, apellido
        │                        Estatus = 'activo'
        ▼
Email de verificacion enviado  ← Supabase lo envia, template personalizable
        │
        ▼
Usuario confirma email         ← auth.users.email_confirmed_at se llena
        │
        ▼
LISTO → Redirigir al dashboard

3. Registro de menores de edad (Alumnos CIA)

⚠️ REGLA CRITICA: Un menor de edad (<18 anos) NO puede crear su propia cuenta. La cuenta la crea y administra su representante legal (padre, madre o tutor). El menor NO debe usar el correo del padre como su cuenta principal.

3.1 El problema que se resuelve

Historicamente, los padres creaban la cuenta del alumno usando su propio correo y datos. Esto causaba:

Problema	Consecuencia
La cuenta esta a nombre del padre, no del alumno	Los certificados INAC salen con datos incorrectos
El email es del padre	Las notificaciones llegan al padre, no al alumno
El padre crea multiples cuentas para varios hijos	Identidades cruzadas. Imposible saber quien es quien
El alumno cumple 18 y quiere «su» cuenta	No puede porque la identidad esta vinculada al padre

3.2 Como funciona el registro de un menor

Paso	Que pasa	Detalle
1	El representante se registra primero	Crea su propia cuenta con sus datos reales (cedula, email, nombre)
2	Desde su perfil, clic en «Agregar representado»	Formulario especial para registrar al menor
3	Llena datos del menor	Nombre, apellido, cedula del menor, fecha de nacimiento. Email del menor (si tiene) o se genera uno temporal
4	Se crea la cuenta del menor	profiles: datos del menor. user_representantes: vincula menor ↔ representante
5	El representante administra la cuenta	Puede ver notas, pagar cuotas, subir documentos del menor. El menor accede con sus propias credenciales (si tiene edad suficiente)
6	Al cumplir 18: emancipacion de cuenta	El sistema notifica. El alumno confirma su email propio. La cuenta pasa a ser 100% del alumno. El representante queda como contacto

3.3 Tabla: user_representantes

Columna	Tipo	Descripcion
`id`	uuid (PK)	ID del registro
`menor_id`	uuid (FK → profiles)	El alumno menor de edad
`representante_id`	uuid (FK → profiles)	El padre/madre/tutor (tiene su propia cuenta)
`parentesco`	varchar(50)	‘padre’, ‘madre’, ‘tutor_legal’, ‘otro’
`es_responsable_financiero`	boolean	Si este representante paga las cuotas del menor
`puede_ver_notas`	boolean	Si puede acceder al historial academico
`puede_autorizar_vuelos`	boolean	Para autorizaciones de vuelo especificas de CIA
`activo`	boolean	Se desactiva cuando el menor cumple 18
`fecha_emancipacion`	date	Fecha en que el menor asumio control total (null si no)

PRINCIPIO: 1 persona = 1 cuenta. Siempre. El padre tiene SU cuenta, el hijo tiene SU cuenta. Se vinculan con la tabla user_representantes. Nunca se comparten credenciales.

4. Flujo de login con Google (Social Login)

Paso	Que ve el usuario	Que pasa por detras
1	Clic en «Continuar con Google»	Se abre ventana emergente de Google
2	Selecciona su cuenta Gmail	Google autentica y devuelve token + datos del perfil
3	Redireccion automatica al ERP	Supabase recibe el token, crea/vincula la cuenta
4	Dashboard («Mi Panel»)	Si es primera vez: trigger crea profiles + tour de bienvenida

3.1 Datos que Google nos da automaticamente

Dato de Google	Se guarda en	Notas
Email	`profiles.email`	Siempre disponible
Nombre completo	`profiles.nombre` + `apellido`	Se separa automaticamente
Foto de perfil	`profiles.foto_url`	URL de Google. Se copia a Storage despues
Email verificado	`auth.email_confirmed_at`	Google ya lo verifico — no pedimos codigo

3.2 Configuracion requerida en Google Cloud

Configuracion	Donde	Valor
OAuth Client ID	Google Cloud Console → APIs → Credentials	Se genera al crear la app
OAuth Client Secret	Mismo lugar	Se copia a Supabase Dashboard
Redirect URI	Google Console + Supabase	`https://[TU-PROYECTO].supabase.co/auth/v1/callback`
Dominios autorizados	Google Console	`app.aeroidea.net`, `localhost` (dev)
Habilitar en Supabase	Supabase Dashboard → Auth → Providers → Google	Pegar Client ID + Secret

5. Login normal (usuario existente)

Paso	Que ve	Que pasa
1	Pantalla de login: email + contrasena	Formulario con validacion en tiempo real
2	Clic «Iniciar sesion»	`supabase.auth.signInWithPassword({ email, password })`
3a	Si es correcto → Dashboard	Supabase devuelve JWT token + refresh token. Se guarda en cookie httpOnly
3b	Si es incorrecto → Error	«Email o contrasena incorrectos» (no revelar cual fallo)
3c	Si la cuenta esta suspendida	«Tu cuenta ha sido suspendida. Contacta a soporte» + enlace

6. Recuperacion de contrasena

Paso	Que ve	Que pasa
1	Clic «Olvidaste tu contrasena?»	Abre pantalla de recuperacion
2	Ingresa su email	`supabase.auth.resetPasswordForEmail(email)`
3	«Te enviamos un enlace a tu correo»	Supabase envia email con link magico (expira en 1 hora)
4	Abre el link → pantalla «Nueva contrasena»	Formulario con contrasena + confirmar + indicador de fortaleza
5	«Contrasena actualizada» → redirige a login	`supabase.auth.updateUser({ password })`

NOTA: Si el usuario se registro con Google (social login), no tiene contrasena. Al intentar recuperar, el sistema le dice: «Tu cuenta usa login de Google. Haz clic en ‘Continuar con Google’ para entrar.»

7. Gestion de sesiones

Concepto	Valor	Descripcion
Access Token (JWT)	Expira en 1 hora	Token corto para cada peticion. Se renueva automaticamente
Refresh Token	Expira en 7 dias	Token largo para renovar el access token sin volver a loguear
Almacenamiento	Cookie httpOnly	No accesible desde JavaScript = protegido contra XSS
Sesion persistente	Si (por defecto)	El usuario no tiene que loguear cada vez que abre el navegador
Cerrar sesion	Menu avatar → «Cerrar sesion»	`supabase.auth.signOut()` elimina tokens
Multiples dispositivos	Permitido	Puede estar logueado en PC + telefono simultaneamente

8. Seguridad

Medida	Implementacion	Descripcion
Contrasena segura	Validacion en frontend + Supabase	Minimo 8 chars, 1 mayuscula, 1 numero. Indicador visual de fortaleza
Rate limiting	Supabase (automatico)	Maximo 5 intentos fallidos por minuto. Despues: bloqueo temporal
CAPTCHA	hCaptcha o Turnstile	Se activa despues de 3 intentos fallidos
Email verificado	Obligatorio para email. Automatico para Google	No puede acceder a funciones sensibles sin verificar
HTTPS	Obligatorio	Toda comunicacion encriptada. Sin excepciones
No borrar cuentas	Politica del ERP	Se desactivan (estatus = ‘inactivo’). Los datos se preservan

9. Emails del sistema

Supabase envia estos emails automaticamente. Los templates son personalizables desde el Dashboard de Supabase:

Email	Cuando se envia	Contenido
Verificacion de email	Al registrarse con email	Codigo de 6 digitos o link de confirmacion
Recuperacion de contrasena	Al pedir «Olvide mi contrasena»	Link magico para cambiar contrasena (expira 1h)
Cambio de email	Si el usuario cambia su correo	Confirmacion al email nuevo + aviso al email viejo
Bienvenida	Primer login exitoso	Email de bienvenida con links utiles (via Edge Function, no Supabase)

10. Referencia

Documento	Relacion
Esquema BD Nucleo 1	El trigger on_auth_user_created que crea el perfil
Diseno de Interfaz	Mockups de login, registro y dashboard (Sec 3)
Identidad Visual	Colores, logo y tipografia de las pantallas de auth
Stack Tecnologico	Supabase Auth + Google Cloud Run
Normas de Roles	Que roles se asignan al registrarse