Auth (Autenticación y autorización)
Auth = comprobar quién eres (autenticación) y qué puedes hacer (autorización). Toda app con usuarios necesita ambas, y suelen ser donde se rompen las apps mal hechas.
Explicación
Autenticación es probar identidad: email + contraseña, magic link, Google, Apple, OAuth corporativo. Autorización es decidir permisos: roles (admin, editor, viewer), reglas a nivel de fila (cada cliente solo ve sus propios datos), permisos granulares por feature. En 2026 ya no se hace auth a mano — se usa Supabase Auth, NextAuth.js, Clerk o similar, que cubren los casos comunes (registro, login, recuperar contraseña, MFA) y dejan implementar solo la lógica de negocio. La complicación que sí queda: definir bien la matriz de permisos antes de codificar.
Caso real
En la app de la academia de idiomas: profesores ven solo sus alumnos, alumnos ven solo sus notas, admin ve todo. Tres roles, RLS (Row Level Security) en Postgres con Supabase. Sin esto, un profesor podría leer las notas de otro profesor con un truco URL.