Keychain expone una interfaz SolanaSigner única para cada backend, por lo que
la elección es operativa, no arquitectónica — puedes cambiarla más adelante
mediante configuración. Por ello, parte de tus requisitos, no de un
producto. Dos preguntas resuelven la mayor parte: ¿dónde reside la clave
privada y quién está autorizado a firmar con ella?
No existe un backend universalmente superior. Cada uno se adapta mejor a un conjunto concreto de restricciones: la nube en la que ya operas, si deseas gestionar tu propia infraestructura de claves y qué controles de custodia y aprobación necesitas tener. El flujo que se muestra a continuación asocia esas restricciones a un backend.
Esta guía cubre la firma en el backend (lado del servidor). Cuando tus usuarios finales firman sus propias transacciones en un navegador, utiliza una cartera a través del Wallet Standard en su lugar — consulta Firma en Producción.
Flujo de decisión
El desarrollo local y las pruebas no necesitan nada de esto — usa el backend Memory para prototipos y luego cambia a uno de los backends de producción indicados arriba mediante configuración.
Recorre las preguntas
¿Estás firmando para tu propia aplicación o para tus usuarios finales?
Si aprovisionas carteras que los usuarios finales poseen y gestionan (aplicaciones de consumo, flujos de incorporación), utiliza un backend de cartera integrada / administrada — Privy, Turnkey, CDP, Crossmint u Openfort. Estos gestionan carteras por usuario y la autenticación en tu nombre.
Si estás firmando como tu propia aplicación — un pagador de comisiones, un tesoro, automatización de backend — continúa a continuación.
¿Necesitas aprobación de múltiples partes, custodia institucional o controles regulatorios?
Si las firmas deben pasar por una política de aprobación, límite de gasto o flujo de trabajo de cumplimiento antes de generarse — o necesitas un custodio regulado que gestione las claves — usa un backend de MPC / custodia institucional: Fireblocks, Dfns, Para o Utila. Estos dividen o custodian la clave y co-firman según tu política.
Si solo necesitas una clave que firme bajo solicitud, continúa a continuación.
¿Quieres gestionar la clave tú mismo o dejar que un proveedor la gestione?
Si un proveedor de nube debe mantener la clave en una infraestructura respaldada por hardware y tu política de IAM controla quién puede firmar, usa el KMS de esa nube:
- Ejecutándose en AWS → AWS KMS
- Ejecutándose en GCP → GCP KMS
Si deseas operar la infraestructura de claves tú mismo — o trabajas en múltiples nubes o en entornos on-prem — usa HashiCorp Vault. Tú lo ejecutas y auditas; la clave permanece dentro del motor Transit y firma bajo solicitud.
Modelos de custodia
Los backends se agrupan en cinco modelos de custodia. El flujo anterior te sitúa en uno de ellos.
- Autocustodia (en proceso) — tu aplicación mantiene la clave privada sin procesar. Conveniente para desarrollo, pero no apta para producción. Backend: Memory.
- Gestión de claves autoalojada — tú operas la infraestructura de claves; la clave permanece dentro de ella y firma bajo solicitud. Backend: HashiCorp Vault.
- KMS en la nube / HSM — un proveedor de nube almacena la clave en infraestructura respaldada por hardware; la clave nunca abandona el servicio y tu política de IAM controla quién puede firmar. Backends: AWS KMS, GCP KMS.
- MPC y custodia institucional — la clave se divide o se custodia a través de un proveedor, que co-firma según tu política (aprobaciones, límites). Backends: Fireblocks, Dfns, Para, Utila.
- Wallets integradas y gestionadas — un proveedor gestiona wallets en tu nombre, generalmente para incorporar usuarios finales. Backends: Privy, Turnkey, CDP, Crossmint, Openfort.
Comparación de backends
| Backend | Modelo de custodia | Ideal para | Notas |
|---|---|---|---|
| Memory | Autocustodia (en proceso) | Desarrollo local, pruebas, CI | Clave en texto plano en el proceso — no usar en producción |
| HashiCorp Vault | Gestión de claves autoalojada | Equipos que gestionan su propia infraestructura de claves | Motor Transit; usted lo opera y audita |
| AWS KMS | KMS / HSM en la nube | Backends que se ejecutan en AWS | La clave nunca sale de KMS; IAM controla la firma |
| GCP KMS | KMS / HSM en la nube | Backends que se ejecutan en GCP | La clave nunca sale de KMS; IAM controla la firma |
| Fireblocks | Custodia MPC / institucional | Tesorerías, exchanges, custodia regulada | Motor de políticas y flujos de aprobación |
| Dfns | Infraestructura de carteras MPC | Carteras programáticas con controles de política | Firma Ed25519 |
| Para | Carteras MPC | Apps que desean carteras respaldadas por MPC | Clave API + ID de cartera |
| Utila | Custodia MPC + co-firmante | Carteras Solana gestionadas por Utila | signMessage no compatible; usted difunde la tx |
| Privy | Carteras integradas | Apps de consumo para incorporar usuarios a carteras | Carteras integradas gestionadas por la app |
| Turnkey | Gestión de claves no custodial | Firma programática con control de políticas | Gestión de claves no custodial |
| CDP | Cartera gestionada (Coinbase) | Apps en Coinbase Developer Platform | signMessage solo acepta payloads UTF-8 |
| Crossmint | Carteras gestionadas | Marketplaces y apps con carteras gestionadas | Carteras smart e mpc; signMessage no compatible |
| Openfort | Carteras backend integradas | Carteras del lado del servidor | Claves almacenadas en TEE |
Escenarios empresariales
Una sola aplicación a menudo necesita más de uno de estos al mismo tiempo. Dado que la interfaz es idéntica, puedes ejecutar un backend diferente por rol sin cambiar los puntos de llamada.
- Operaciones de tesorería — separa un firmante operativo "caliente" de un firmante de tesorería "frío". Respalda la tesorería con custodia MPC o un HSM en la nube y exige políticas de aprobación antes de firmas de alto valor.
- Flujos de aprobación — los backends de MPC y custodia (p. ej., Fireblocks) aplican la aprobación de múltiples partes antes de producir una firma.
- Cumplimiento y auditoría — el KMS en la nube (AWS/GCP) y Vault generan registros de auditoría de firma; los custodios institucionales añaden aplicación de políticas e informes.
- Entornos regulados — mantén el material de claves en un HSM, KMS o custodio institucional para que las claves sin procesar nunca toquen tu aplicación.
Consulta Mejores prácticas de producción para operar estos backends de forma segura.
Is this page helpful?