Caso de estudio: SaaS multi-tenant con Next.js 16, NestJS 11 y RLS

Descubre cómo implementar aislamiento de datos con RLS, subdominios dinámicos en Next.js y un sistema de suscripciones con periodo de gracia en este caso de

27 jun 2026 • 3 min read • Q2BSTUDIO Team

Lecciones de arquitectura SaaS: RLS, subdominios y suscripciones

En el ecosistema actual del desarrollo de software empresarial, construir una aplicación multi-tenant que sea escalable, segura y mantenible representa uno de los mayores desafíos técnicos. No se trata solo de escribir código que funcione, sino de diseñar una arquitectura que garantice aislamiento de datos, rendimiento consistente y una experiencia de usuario personalizada sin comprometer la seguridad. En este artículo analizamos un caso de estudio real: un SaaS B2B full-stack para gestión de inventario y puntos de venta, construido con Next.js 16, NestJS 11 y PostgreSQL. Abordamos cómo resolver problemas complejos como el aislamiento de datos a nivel de base de datos mediante Row-Level Security (RLS), el enrutamiento dinámico por subdominios y un sistema de suscripciones con periodos de gracia. Todo ello ejecutado bajo un monorepo con pnpm workspaces. Este enfoque demuestra que dominar la ingeniería de producción es mucho más valioso que acumular proyectos pequeños. En Q2BSTUDIO, entendemos que cada negocio tiene necesidades únicas; por eso ofrecemos aplicaciones a medida que se adaptan a requisitos específicos de multi-tenencia, escalabilidad cloud y lógica de negocio compleja.

El primer reto crítico en cualquier SaaS multi-tenant es garantizar que los datos de cada cliente estén completamente aislados. La solución tradicional de agregar un filtro WHERE tenant_id = ? en cada consulta es frágil y propensa a errores humanos. En este proyecto se optó por delegar la responsabilidad al propio motor de base de datos utilizando PostgreSQL RLS. Cada tabla crítica se protege con una política de seguridad que verifica automáticamente el contexto del inquilino, inyectado mediante variables de sesión desde el backend. Esto significa que incluso si un desarrollador olvida incluir el filtro, PostgreSQL bloquea cualquier acceso cruzado. Este nivel de seguridad es esencial cuando se manejan datos sensibles de inventario y transacciones. Para lograr una integración limpia, el backend en NestJS utiliza un guard personalizado que decodifica el JWT y ejecuta SET LOCAL app.current_warehouse_id antes de cada transacción. Este patrón de seguridad a nivel de base de datos es altamente recomendable y se complementa con estrategias de ia para empresas que permiten auditar patrones de acceso anómalos.

El segundo desafío fue ofrecer subdominios dinámicos para cada bodega (ej: mi-tienda.lvh.me:3000). En lugar de sobrecargar el middleware de Next.js, se implementó un proxy de reescritura dinámica en el servidor que lee la cabecera Host y redirige internamente a la ruta /store/[subdomain]. La seguridad se refuerza verificando que el subdominio coincida con el tenant autorizado en el token JWT almacenado en una cookie con alcance global. Cualquier discrepancia redirige al usuario a una página de acceso denegado. Este mecanismo permite escalar horizontalmente sin sacrificar la experiencia multi-tenant.

La monetización del SaaS requirió un motor de suscripciones inteligente. Se diseñó un flujo de estados: activo ? fecha de expiración ? periodo de gracia de 3 días ? bloqueo de operaciones de escritura. Un guard global en NestJS protege todos los endpoints POST, PATCH y DELETE en módulos críticos. Durante el periodo de gracia, el frontend muestra banners informativos, y tras expirar, un componente de bloqueo impide cualquier escritura, permitiendo solo consultas GET. Esta lógica de negocio orientada a la retención de clientes se puede potenciar con automatización de procesos que gestionen recordatorios y alertas.

Finalmente, las notificaciones se implementaron de forma híbrida: correos transaccionales mediante Resend para eventos críticos (bienvenida, restablecimiento de contraseña, alertas de facturación) y un canal manual de WhatsApp para que el SuperAdmin pueda contactar clientes con un solo clic. Esta combinación asegura comunicación fluida sin depender de costosas infraestructuras de terceros.

En definitiva, desarrollar un SaaS multi-tenant con estas características exige un profundo conocimiento de bases de datos, seguridad, enrutamiento y lógica de negocio. En Q2BSTUDIO ofrecemos software a medida que integra servicios cloud AWS y Azure, ciberseguridad, inteligencia artificial y servicios inteligencia de negocio como Power BI, siempre con un enfoque práctico y orientado a resultados. Si estás evaluando cómo migrar tu aplicación a un modelo multi-tenant o necesitas un equipo que entienda estos desafíos arquitectónicos, no dudes en contactarnos.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat