Caso de estudio: SaaS multi-tenant con Next.js 16, NestJS 11 y RLS

Descubre cómo implementar aislamiento de datos con RLS, subdominios dinámicos en Next.js y un sistema de suscripciones con periodo de gracia en este caso de

27 jun 2026 • 3 min de lectura • Equip Q2BSTUDIO

Lecciones de arquitectura SaaS: RLS, subdominios y suscripciones

En el ecosistema actual del desarrollo de software empresarial, construir una aplicación multi-tenant que sea escalable, segura y mantenible representa uno de los mayores desafíos técnicos. No se trata solo de escribir código que funcione, sino de diseñar una arquitectura que garantice aislamiento de datos, rendimiento consistente y una experiencia de usuario personalizada sin comprometer la seguridad. En este artículo analizamos un caso de estudio real: un SaaS B2B full-stack para gestión de inventario y puntos de venta, construido con Next.js 16, NestJS 11 y PostgreSQL. Abordamos cómo resolver problemas complejos como el aislamiento de datos a nivel de base de datos mediante Row-Level Security (RLS), el enrutamiento dinámico por subdominios y un sistema de suscripciones con periodos de gracia. Todo ello ejecutado bajo un monorepo con pnpm workspaces. Este enfoque demuestra que dominar la ingeniería de producción es mucho más valioso que acumular proyectos pequeños. En Q2BSTUDIO, entendemos que cada negocio tiene necesidades únicas; por eso ofrecemos aplicaciones a medida que se adaptan a requisitos específicos de multi-tenencia, escalabilidad cloud y lógica de negocio compleja.

El primer reto crítico en cualquier SaaS multi-tenant es garantizar que los datos de cada cliente estén completamente aislados. La solución tradicional de agregar un filtro WHERE tenant_id = ? en cada consulta es frágil y propensa a errores humanos. En este proyecto se optó por delegar la responsabilidad al propio motor de base de datos utilizando PostgreSQL RLS. Cada tabla crítica se protege con una política de seguridad que verifica automáticamente el contexto del inquilino, inyectado mediante variables de sesión desde el backend. Esto significa que incluso si un desarrollador olvida incluir el filtro, PostgreSQL bloquea cualquier acceso cruzado. Este nivel de seguridad es esencial cuando se manejan datos sensibles de inventario y transacciones. Para lograr una integración limpia, el backend en NestJS utiliza un guard personalizado que decodifica el JWT y ejecuta SET LOCAL app.current_warehouse_id antes de cada transacción. Este patrón de seguridad a nivel de base de datos es altamente recomendable y se complementa con estrategias de ia para empresas que permiten auditar patrones de acceso anómalos.

El segundo desafío fue ofrecer subdominios dinámicos para cada bodega (ej: mi-tienda.lvh.me:3000). En lugar de sobrecargar el middleware de Next.js, se implementó un proxy de reescritura dinámica en el servidor que lee la cabecera Host y redirige internamente a la ruta /store/[subdomain]. La seguridad se refuerza verificando que el subdominio coincida con el tenant autorizado en el token JWT almacenado en una cookie con alcance global. Cualquier discrepancia redirige al usuario a una página de acceso denegado. Este mecanismo permite escalar horizontalmente sin sacrificar la experiencia multi-tenant.

La monetización del SaaS requirió un motor de suscripciones inteligente. Se diseñó un flujo de estados: activo ? fecha de expiración ? periodo de gracia de 3 días ? bloqueo de operaciones de escritura. Un guard global en NestJS protege todos los endpoints POST, PATCH y DELETE en módulos críticos. Durante el periodo de gracia, el frontend muestra banners informativos, y tras expirar, un componente de bloqueo impide cualquier escritura, permitiendo solo consultas GET. Esta lógica de negocio orientada a la retención de clientes se puede potenciar con automatización de procesos que gestionen recordatorios y alertas.

Finalmente, las notificaciones se implementaron de forma híbrida: correos transaccionales mediante Resend para eventos críticos (bienvenida, restablecimiento de contraseña, alertas de facturación) y un canal manual de WhatsApp para que el SuperAdmin pueda contactar clientes con un solo clic. Esta combinación asegura comunicación fluida sin depender de costosas infraestructuras de terceros.

En definitiva, desarrollar un SaaS multi-tenant con estas características exige un profundo conocimiento de bases de datos, seguridad, enrutamiento y lógica de negocio. En Q2BSTUDIO ofrecemos software a medida que integra servicios cloud AWS y Azure, ciberseguridad, inteligencia artificial y servicios inteligencia de negocio como Power BI, siempre con un enfoque práctico y orientado a resultados. Si estás evaluando cómo migrar tu aplicación a un modelo multi-tenant o necesitas un equipo que entienda estos desafíos arquitectónicos, no dudes en contactarnos.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat