Separación entre administración y consumo de flags
Diseñé dos mecanismos de autenticación independientes: JWT para que los propietarios administren sus proyectos y API keys para que las aplicaciones cliente consulten las flags. Esto evita exponer credenciales administrativas y mantiene responsabilidades claramente separadas.
API keys almacenadas de forma segura
Las API keys se generan utilizando un prefijo identificable y un secreto aleatorio. El secreto completo solo se entrega al momento de crear la clave, mientras que en la base de datos se almacena únicamente su hash para reducir el impacto de una posible filtración.
SDK para simplificar la integración
En lugar de obligar a cada aplicación cliente a implementar manualmente peticiones HTTP, autenticación y manejo de respuestas, desarrollé un SDK que encapsula la comunicación con la API y ofrece una interfaz sencilla para evaluar feature flags.
Rollout porcentual determinista
Las flags pueden configurarse con un porcentaje de disponibilidad para habilitar funcionalidades de forma gradual. La evaluación puede utilizar un identificador estable del usuario para mantener resultados consistentes entre distintas solicitudes.