Las historias de «Iniciar sesión» casi nunca reciben un 3, pero siempre hay alguien que vota con un 3.

«Añadir inicio de sesión» parece una tarea menor porque todos los presentes en la sala ya han implementado el inicio de sesión anteriormente, en otro producto, con un conjunto diferente de decisiones ya tomadas. El alcance que recuerda es el de la última vez, no el que está a punto de asumir. La historia parece algo conocido hasta que alguien formula una de las preguntas que figuran a continuación; en ese momento, deja de serlo.

El problema no es que iniciar sesión resulte complicado. Es que el debate se zanja antes de que se hagan evidentes las ventajas y desventajas. Los ingenieros de backend se aferran a que «tenemos una biblioteca para esto». Los gestores de proyectos se aferran a la captura de pantalla del escenario ideal. Quienquiera que haya desarrollado realmente el sistema recientemente es quien rompe ese falso consenso, normalmente con una pregunta que no figuraba en el ticket.

Lo que se dice en la sala

Backend: «Es solo JWT, disponemos de la biblioteca».

Seguridad: «El restablecimiento de la contraseña no es “solo un JWT”».

PM: «¿Necesitamos la autenticación de dos factores desde el primer día, o es algo que se implementará más adelante?»

Frontend: «¿Nos vamos a federar con Google y Apple, o vamos a desarrollar nuestra propia solución?»

SRE: «¿Cuál es el límite de frecuencia del punto final de inicio de sesión?»

Preguntas que conviene plantearse antes de votar

  • ¿Existe un proceso para restablecer la contraseña? ¿Y quién es el responsable de la plantilla de correo electrónico?
  • ¿Identidad federada —Google, Apple, SSO— o solo nombre de usuario y contraseña?
  • Almacenamiento de sesión: ¿JWT, sesión de servidor, ambos, tokens de actualización?
  • ¿Limitación de tasa y bloqueo de cuenta en el punto final de inicio de sesión?
  • ¿Se incluye ya la autenticación de dos factores (2FA) en el alcance, o se trata de un «más adelante» deliberado?
  • ¿Se registran en el registro de auditoría los intentos fallidos?

La mayoría de estas respuestas son «triviales» o «eso es tema para otra entrada». Cuente las del segundo tipo. Si hay dos o más, aún no tiene una historia: tiene un candidato para dividir, y el 3 por el que estaba a punto de votar está midiendo lo que no debe.

Si su equipo vota «3» al iniciar sesión, la conversación aún no ha tenido lugar. Vuelva a enviarla.

Véase también: errores habituales en el Planning Poker explica qué puede salir mal durante la sesión; cómo dirigir una sesión describe el ciclo de cuatro fases. Consulte los demás ejemplos prácticos de estimación, o inicie una sesión gratuita de Planning Poker y analice esta historia paso a paso.