Protección de APIs con Autenticación Token en Laravel

Clase 36 de 37 • Curso de Introducción a Laravel 6

Resumen

¿Cómo configurar protección en una API con invitados?

¡Bienvenido! En este contenido, exploramos las configuraciones necesarias para proteger una API frente a usuarios no autenticados, con foco en el uso de la autenticación mediante token. La clave está en saber qué hacer cuando recibes a un usuario invitado.

¿Por qué es esencial tener métodos de test adicionales?

Desarrollo controlado: Nuestro controlador tiene cinco métodos, pero a nivel de pruebas sumamos uno adicional para validación.
Mejora continua: Nos permite crear nuevos casos para situaciones específicas, como el acceso de invitados.
Evaluar protección: Podemos verificar cómo responde nuestro sistema cuando llegan usuarios no autenticados.

¿Cómo se configuran los métodos de prueba?

Definir el comportamiento esperado: Queremos probar las rutas que reciben invitados.
Configurar el estado esperado: El estatus debería ser 401 - Unauthorized al intentar acceder sin autenticación.

public function testGuestAccess()
{
    $this->get('/happy')->assertStatus(401);
}

¿Qué sucede al recibir un código de estado incorrecto?

Diagnóstico rápido: Si esperas un 401 y recibes un 200, probablemente la API esté pública.
Acción necesaria: Asegúrate de proteger las rutas mediante middleware.

¿Cómo asegurar una API con middleware?

Configura el middleware: Utiliza auth:api como middleware en routes/api.php para proteger las rutas.
Token Authentication: Ideal para APIs, asegurando que solo usuarios autenticados puedan acceder.

Route::middleware('auth:api')->get('/happy', function (Request $request) {
    //
});

¿Cómo se integra todo esto en las pruebas?

Crear usuarios: Usa factories para simular usuarios.
Prueba como usuario autenticado: Usa actingAs con el token.

$user = User::factory()->create();
$this->actingAs($user, 'api')->get('/happy')->assertStatus(200);

¿Qué sucede al realizar múltiples pruebas?

Multiplicidad: Duplica la configuración para probar todas las rutas (POST, PUT, DELETE).
Validación completa: Asegura que cada ruta muestra el comportamiento esperado.

Ejemplo de verificación de PUT

$user = User::factory()->create();
$this->actingAs($user, 'api')->put('/mil')->assertStatus(200);

¿Qué esperar tras la implementación?

Feedback inmediato: Al ejecutar las pruebas, deberías ver que el sistema responde adecuadamente bajo autenticación, mientras bloquea los acceso no autorizados.
Seguridad garantizada: Asegúrate de que cada método sólo sea accesible mediante token para proteger tu API.

Siempre que desarrolles o ajustes una API, practicar y evaluar los resultados es crucial. Compártenos tus experiencias o dudas. En tu camino hacia la maestría en tecnología, cada paso cuenta. ¡Ánimo y sigue adelante!

Fernando Mejia

student•

Si estas trabajando con VSCode tienes la opcion de descargar un plugin que se llama phpUnit, con este pudes colocar el apuntador en cualquier metodo que desees probar y usando en Mac command+shift+p, en windows: ctrl+shift+p, podras llamar a un prompt ahi escribes la palabra test y tendras la opcion de correr todos o en el que te encuentras trabajando asi aceleras un poco mas tu workflow

Omar Villafuerte

student•

gracias le he instalado, ahorra bastante tiempo

Lenin Carabali

student•

En laravel 8 me respondía con un error 500

Tuve que agregar estas líneas en en los guards del archivo auth.php que está en la carpeta de config

'api' => [
            'driver' => 'token',
            'provider' => 'users',
            'hash' => false,
        ],

Asumo que es por la versión del framework...Y todo correcto, espero sirva.

Carlos Eduardo Gomez García

teacher•

Pues todo perfecto! Al fin aprendí a crear un API, aunque no entiendo aún cómo es que el usuario se loguearía desde el front, pero por todo lo demás, perfecto! aquí dejo parte de mi código con las pruebas corriendo al 100

Juan Sanchez

student•

Es necesario que la API retorne un token luego de haber verificado que las credenciales son correctas.

 	Auth::Login($user);
        $user = $this->guard()->user();
        $user->generateToken();
	return response($user, 200);

Luego en el FrontEnd lo almacenas en el localStorage y en cada petición que realices debes inyectar ese token(solo si la ruta solicita verificación de token).

 const bearer = localToken();
  axios.defaults.baseURL = apiConfig.apiURL;
  if (bearer) {
    axios.defaults.headers.common.Authorization = `Bearer ${bearer}`;
  }

Esto solo es una forma de autenticación, existen otras más.

Marcelo Vargas Avila

student•

Tuve problemas con el middleware pero lo solucioné de esta manea. api.php

 Route::apiResource('posts', PostController::class)->middleware('auth:sanctum');

PostControllerTest.php

$response = $this->actingAs($user, 'sanctum')->json

Blas Rodriguez934

student•

bueno solo tenemos que agregar estas lineas asi nos verifique estamos logueado $user = factory(User::class)->create();

$this->actingAs($user, 'api')->json.......

Miguel Angel Muñoz Pozos

student•

Italo Morales Fantone

teacher•

Genial :)

Héctor Antonio Jiménez Manzo

student•

danielrivera5_, tienes que usar el comando** php artisan test** para que te aparezcan los checks

Miguel Angel Muñoz Pozos

student•

&lt;?php

namespace Tests\Feature\Http\controllers\Api;

use App\Post;
use App\User;
use Illuminate\Foundation\Testing\RefreshDatabase;
use Illuminate\Foundation\Testing\WithFaker;
use Tests\TestCase;

class PostControllerTest extends TestCase
{

    use RefreshDatabase;

    public function test_store()
    {
        // $this-&gt;withoutExceptionHandling();
        $user = factory(User::class)-&gt;create();
        $response = $this-&gt;actingAs($user, 'api')-&gt;json('POST', '/api/posts', [
            'title' =&gt; 'El post de prueba'
        ]);

        $response-&gt;assertJsonStructure(['id', 'title', 'created_at', 'updated_at'])
            -&gt;assertJson(['title' =&gt; 'El post de prueba'])
            -&gt;assertStatus(201); // ok, creado un recurso

        $this-&gt;assertDatabaseHas('posts', ['title' =&gt; 'El post de prueba']);
    }

    public function test_validate_title()
    {
        $user = factory(User::class)-&gt;create();
        $response = $this-&gt;actingAs($user, 'api')-&gt;json('POST', '/api/posts', [
            'title' =&gt; ''
        ]);

        $response-&gt;assertStatus(422) //estatus HTTP 422
            -&gt;assertJsonValidationErrors('title');
    }

    public function test_show()
    {
        //  $this-&gt;withoutExceptionHandling();
        $user = factory(User::class)-&gt;create();
        $post = factory(Post::class)-&gt;create();

        $response = $this-&gt;actingAs($user, 'api')-&gt;json('GET', &quot;/api/posts/$post-&gt;id&quot;); //id = 1

        $response-&gt;assertJsonStructure(['id', 'title', 'created_at', 'updated_at'])
            -&gt;assertJson(['title' =&gt; $post-&gt;title])
            -&gt;assertStatus(200); // ok
    }


    public function test_404_show()
    {
        $user = factory(User::class)-&gt;create();
        $response = $this-&gt;actingAs($user, 'api')-&gt;json('GET', '/api/posts/1000'); //id = 1000

        $response-&gt;assertStatus(404); // no existe
    }

    public function test_update()
    {
        // $this-&gt;withoutExceptionHandling();
        $user = factory(User::class)-&gt;create();
        $post = factory(Post::class)-&gt;create();
        $response = $this-&gt;actingAs($user, 'api')-&gt;json('PUT', &quot;/api/posts/$post-&gt;id&quot;, [
            'title' =&gt; 'nuevo'
        ]);

        $response-&gt;assertJsonStructure(['id', 'title', 'created_at', 'updated_at'])
            -&gt;assertJson(['title' =&gt; 'nuevo'])
            -&gt;assertStatus(200); // ok

        $this-&gt;assertDatabaseHas('posts', ['title' =&gt; 'nuevo']);
    }

    public function test_delete()
    {
        // $this-&gt;withoutExceptionHandling();
        $user = factory(User::class)-&gt;create();
        $post = factory(Post::class)-&gt;create();
        $response = $this-&gt;actingAs($user, 'api')-&gt;json('DELETE', &quot;/api/posts/$post-&gt;id&quot;);

        $response-&gt;assertSee(null)
            -&gt;assertStatus(204); // sin contenido

        $this-&gt;assertDatabaseMissing('posts', ['id' =&gt; $post-&gt;id]);
    }

    public function test_index()
    {
        factory(Post::class, 5)-&gt;create();
        $user = factory(User::class)-&gt;create();
        $response = $this-&gt;actingAs($user, 'api')-&gt;json('GET', '/api/posts');

        $response-&gt;assertJsonStructure([
            'data' =&gt; [
                '*' =&gt; ['id', 'title', 'created_at', 'updated_at']
            ]
        ])-&gt;assertStatus(200);
    }

    public function test_guest()
    {
        $this-&gt;json('GET', '/api/posts')-&gt;assertStatus(401);
        $this-&gt;json('POST', '/api/posts')-&gt;assertStatus(401);
        $this-&gt;json('GET', '/api/posts/1000')-&gt;assertStatus(401);
        $this-&gt;json('PUT', '/api/posts/1000')-&gt;assertStatus(401);
        $this-&gt;json('DELETE', '/api/posts/1000')-&gt;assertStatus(401);
    }
}

María Sierra

student•

Delete con TDD y Login

Para verificar si algo no existe en nuestra Databse con PHPUnit

$this->assertDatabaseMissing('posts', ['id' => $post->id]);

Para crear un autenticación en un api utilizamos el middleware

, PostController::class)->middleware('auth:api');

Y para arreglar nuestras anteriores testing vamos a crear un usuario y poner que estamos login con el token del Api

$user = User::factory()->create();

$response = $this->actingAs($user, 'api')->json('POST', ...

Jimmy Buriticá Londoño

student•

Todo funcionó como se esperaba. Me hubiera gustado probar la API desde otro programa consumiéndola.

Raul Mercado

student•

Prueba usando la aplicación Postman

Eugenio Avila

student•

Sería factible crear una sola vez la creación del usuario y reutilizar en todos los metodos?

Hector Rubio

student•

Si lo creas de forma global si, pero por conversión se debe hacer individualmente dado que cada prueba se hace de forma individual.

Miguel Angel Muñoz Pozos

student•

&lt;?php

namespace App\Http\Controllers\Api;

use App\Http\Controllers\Controller;
use App\Post;
use App\Http\Requests\Post as PostRequests;

class PostController extends Controller
{
    private $post;

    /**
     * __construct
     *
     * @param  mixed $post
     * @return void
     */
    public function __construct(Post $post)
    {
        $this-&gt;post = $post;
    }

    /**
     * Display a listing of the resource.
     *
     * @return \Illuminate\Http\Response
     */
    public function index()
    {
        return response()-&gt;json($this-&gt;post-&gt;paginate());
    }

    /**
     * Store a newly created resource in storage.
     *
     * @param  \Illuminate\Http\Request  $request
     * @return \Illuminate\Http\Response
     */
    public function store(PostRequests $request)
    {
        $post = $this-&gt;post-&gt;create($request-&gt;all());
        return response()-&gt;json($post, 201);
    }

    /**
     * Display the specified resource.
     *
     * @param  \App\Post  $post
     * @return \Illuminate\Http\Response
     */
    public function show(Post $post)
    {
        return response()-&gt;json($post);
    }

    /**
     * Update the specified resource in storage.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \App\Post  $post
     * @return \Illuminate\Http\Response
     */
    public function update(PostRequests $request, Post $post)
    {
        $post-&gt;update($request-&gt;all());

        return response()-&gt;json($post);
    }

    /**
     * Remove the specified resource from storage.
     *
     * @param  \App\Post  $post
     * @return \Illuminate\Http\Response
     */
    public function destroy(Post $post)
    {
        $post-&gt;delete();

        return response()-&gt;json(null, 204);
    }
}

David Antonio Garcia Saaib

student•

El último test_guest si es importante terminando la api? o ya no porque ya esta declarado el usuario autentificado en cada test??

Juan Carlos García Esquivel

student•

Creo que si es importante Adrían porque de esta forma te aseguras que si el usuario no esta logeado la respuesta es la que esperas en este caso 401 y no te llevas ninguna sorpresa, como dijo Italo con esa validación podrás dormir tranquilo sabiendo que hace exactamente lo que esperas.

Danilo Toro

student•

Hay algún método para los jwt que no sea crear el auth cada vez? o solo debemos crear el auth y pasarlo por el header?

Oscar Stevens Cuartas Bejarano

student•

excelente, no entendi nada del TDD pero excelente clase jejejje

Alex Camacho

teacher•

Hola Oscar,

Quizá este artículo te ayude a disipar un poco tus dudas :D

¡Nunca pares de aprender! 💚

Rosember Perez

student•

Hola!!

Te explico rápidamente el TDD, desarrollado guiado por pruebas

Desarrollar una prueba que debe fallar, en este caso podría ser implementar una funcionalidad que no exista.

Ej: instanciar un objeto carro, que use un método volar y llegue a un lugar especifico

Pensar y desarrollar la forma en que la prueba funcione, en este caso debemos cumplir la promesa y hacer que el carro vuele.

Ej: En la instancia carro le implementamos un componente alas, un chasis aerodinámico, extendemos el motor a uno de avión y le agregamos un array de turbinas de jet

Organizar y optimizar el código para que sea mas eficiente, ahora si debemos pensar en recursos y necesidades para que sea mas optimo y rápida la ejecución

Ej. La instancia carro ahora es mas potente de la necesaria así que removemos potencia hasta quedar como necesitemos, usamos un patrón decorador, removemos maquinaria que para liberar espacio.

Al usar el TDD, podemos ser mas efectivos en el desarrollo, debido a que establecemos una meta previa, tratamos de completarla a como de lugar y además optimizarla para que sea lo mas eficiente posible.

Rodrigo Oliva

student•

Hay alguna forma de reutilizar código en las pruebas, por ejemplo trabajar en orden, creando, actualizando y eliminado el mismo recurso ? O no tiene sentido y la buena practica es que cáda metodo tenga su propio set de recursos para la prueba.

Kenneth Angulo L

student•

Mi primera API basica con el framework. 👌

Oly Graterol

student•

Ejercicio

Mauricio Poveda Macias

student•

En laravel 9

Carlos Javier Flores Cardona

student•

Si estas con Laravel 8, es posible que te salga los siguientes errores:

InvalidArgumentException: Auth guard [api] is not defined.

Incluso, después de corregir el anterior error, te salga el siguiente:

RouteNotFoundException: Route [login] not defined.

Esto es porque si es un usuario que no esta autorizado, deberá redirigirse a la pagina Login. La forma más fácil de corregir el error es colocar en la ruta con el middleware lo siguiente:

Route::apiResource('posts', PostController::class)->middleware('auth.basic');

Lorenzo Antonio Rojo Garces

student•

Mi test de todos los métodos.

public function test_guest()
{
    $this->json('GET', '/api/posts')->assertStatus(401);
    $this->json('POST', '/api/posts')->assertStatus(401);
    $this->json('GET', '/api/posts/1000')->assertStatus(401);
    $this->json('PUT', '/api/posts/1000')->assertStatus(401);
    $this->json('DELETE', '/api/posts/1000')->assertStatus(401);
}