Consideraciones para producción

Clase 23 de 27 • Curso de Backend con Node.js: API REST con Express.js

Contenido del curso

Introducción

CRUD

Servicios

Middlewares

Deployment

Próximos pasos

27
Continúa en el Curso de Node.js con PostgreSQL
01:27 min

Tomar examen

Resumen

Cuando una aplicación de frontend intenta conectarse a tu API y recibe un error inesperado, lo más probable es que estés frente al problema de CORS. Antes de llevar cualquier proyecto a producción, es fundamental entender este concepto y conocer las consideraciones de seguridad que protegen tu servidor.

¿Qué revisar antes de enviar tu API a producción?

Existe una serie de recomendaciones que vale la pena evaluar antes de desplegar. No se trata de una guía definitiva, pero sí de puntos críticos que pueden evitar problemas serios en un ambiente productivo.

Evaluar los CORS: definir a quiénes les das acceso para realizar solicitudes a tu API [0:18].
Usar HTTPS: un servidor con conexión cifrada impide que terceros intercepten la información que viaja entre cliente y servidor [0:30].
Procesos de build: si usas TypeScript u otra tecnología que necesita compilación, asegúrate de que el proceso corra correctamente antes del despliegue [0:42].
Remover todos los logs: los console.log en producción pueden generar delays innecesarios. Es mejor usar herramientas como Sentry, Zap o Datadog para capturar eventos [0:57].
Implementar seguridad desde el inicio: Helmet es una colección de middlewares para Node.js que añade capas de seguridad a tu aplicación de forma sencilla [1:13].
Ejecutar pruebas unitarias o de integración: correr tests antes de subir a producción reduce significativamente los errores [1:25].

¿Qué significa CORS y por qué bloquea tus peticiones?

CORS son las siglas de Cross-Origin Resource Sharing [1:40]. En términos simples, los servidores tienen una protección por defecto que solo acepta peticiones desde su mismo origen.

¿Qué es el "mismo origen"?

Cuando desarrollas localmente, tu API corre en localhost:3000. Si las peticiones salen desde ese mismo dominio y puerto, el backend las acepta sin problema [1:55]. Sin embargo, en el mundo real las aplicaciones se conectan desde orígenes diferentes:

Tu API vive en api.mydomain.com.
Tu frontend en Angular o React corre en mydomain.com.
Una segunda aplicación está en otro.mydomain.com.

Cuando cualquiera de estos dominios intenta hacer una solicitud a la API, el servidor detecta que el origen no coincide y cancela la petición automáticamente [2:18].

¿Cómo se ve el error de CORS en la práctica?

Al simular una single page application con un archivo HTML corriendo en localhost:8080 y hacer un fetch hacia localhost:3000, el navegador muestra un error claro [2:52]: el origen no es el mismo, los puertos son diferentes, y el servidor rechaza la conexión.

Aquí viene un detalle que causa mucha confusión entre equipos de desarrollo. Herramientas como Insomnia o Postman nunca muestran este error [3:28]. La razón es que estas aplicaciones generan un proxy interno que modifica el origen de la petición para que coincida con la URL de destino. Entonces, cuando un desarrollador backend dice "a mí todo me funciona en Postman", es técnicamente cierto, pero el problema aparece cuando el frontend real se conecta desde un navegador.

El error de CORS es uno de los problemas más comunes en la comunicación entre backend y frontend [1:33]. Reconocerlo rápidamente te ahorra horas de depuración.

¿Cómo puedes solucionar el error de CORS?

Antes de buscar la respuesta directa, el reto es intentar encontrar una solución por cuenta propia y compartirla con la comunidad. Investigar cómo habilitar orígenes específicos en tu servidor Node.js es un excelente ejercicio para comprender a fondo el mecanismo de seguridad que protege tu API. Si ya tienes una idea, compártela en los comentarios.

Comentarios

Luis Berenguer

student•

Según lo que he leído en la documentación para habilitar CORS en todos los requests la solución sería añadir:

const cors = require('cors');
app.use(cors());

Si solo queremos hacer CORS a los endpoints de nuestra API, bajamos app.use(cors()) justo antes de que empiecen nuestras rutas hacia la API. (Esa sería mi solución)

Miguel Angel Reyes Moreno

student•

Es lo que dice en este artículo: Using CORS in Express.js.)

Carlos Alberto Meneses

student•

Esta clase es oro, aqui se arreglara la famosa frase de: cliente: "Tu programa no funciona" Dev: "En mi computadora funciona sin problema"

Hector Rubio

student•

De hecho para eso es docker :)

JULIAN ANDRES TEJADA CHICA

student•

Un breve resumen de las consideraciones para producción:

Cors: Que acceso y a quienes le damos acceso para hacer solicitudes
Https: Que la API esta sobre servidor de HTTPS
Procesos de Build: Se ve en procesos que cosas que tiene procesar información (typescript)
Remover logs: No es bueno tener logs, a veces esto tiene demoras, existen mejor formas para capturar logs.
Seguridad (helmet): Muy importante la seguridad y para esto se recomienda helmt que es una colección de Middleware que colocan capas de segridad a la aplicación
Testing: Correr prebas unitarias o de integración antes de salir de producción

Aneudy Abreu

student•

Existen distintas soluciones.

Podemos agregar el cors como middleware a la ruta:

const cors = require('cors');

app.get('/products/:id', cors(), function (req, res, next) {
  res.json({msg: 'This is CORS-enabled for a Single Route'})
})

O también podemos agregarlo como un middleware general.

const cors = require('cors');
app.use(cors());

Recuerda que también podemos configurar algunas opciones:

const cors = require('cors');

var corsOptions = {
  origin: 'https://example.com',
  optionsSuccessStatus: 200 // some legacy browsers (IE11, various SmartTVs) choke on 204
}

app.use(cors(corsOptions ));

Andy Cevallos

student•

Yo veo la tercera opción más segura si tenemos un Frontend que se va a conectar a nuestra API de Node. Ejemplo si mi Frontend esta en GCloud y mi API en AWS. Le das el origen del frontend a tu api.

😎

Jose Ever Muñoz Muñoz

student•

excelente aporte

Daniel Carmona

student•

Ya quedo el frontend

maximo santos alberti

student•

execelente curso, bastantes videos habia visto y no habia quedado tan claro

Mauricio Carrasco

student•

Buscando por ahí, como dice Luis Berenguer la alternativa más sencilla parece ser instalar la libreria cors de npm. Y agregar el siguiente código:

const cors = require('cors');

app.use(cors());

Esto lo agregas en el index.js principal y listo. cors - NPM

Cristian Camilo Cortes Ortiz

student•

CORS*, o* Cross-Origin Resource Sharing (Compartir Recursos de Origen Cruzado), es una política de seguridad implementada en los navegadores web que restringe las solicitudes de recursos desde un origen (dominio, protocolo y puerto) hacia otro origen diferente al que pertenece la página web actualmente cargada.

En el contexto del desarrollo backend, CORS se refiere a cómo los servidores pueden permitir o restringir las solicitudes HTTP que provienen de otros orígenes. Cuando un navegador realiza una solicitud HTTP desde un sitio web a un servidor diferente, se ejecuta la política de CORS para determinar si la solicitud debe ser permitida.

Juan Jiménez

student•

Una solución sería instalar y usar el middleware CORS de forma global.

Instalación npm i cors
Se requiere en index.js const cors = require('cors');
Se pone en función dentro del mismo archivo app.use(cors());

Miguel Angel Echeverri Quiroz

student•

¿Cuál es el curso de testing del que habla el profe?

Joalin Pineda

student•

Hola! :D En próximas entregas del curso! Te invito a darte una vuelta por la Escuela de Desarrollo Web y estar pendiente de los próximos lanzamientos! :rocket:

Miguel Sierra

student•

Actualmente hay un Curso de End to End Testing con Cypress que pertenece al programa de desarrollo backend con NodeJs

Esteban Jiménez ruiz

student•

yo la soluciono usando una extensión en el navegador cuando no tengo tanto control sobre el servicio

Camilo Andrés Granda Cortés

student•

Si quieren hacer la prueba yo lo hice con la extension liveserver:

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>Document</title>
  </head>
  <body>
    <script>
      (async () => {
        const response = await fetch("poner tu endpoint aquí"); 
        const data = await response.json();
        console.log(data);
      })();
    </script>
  </body>
</html>

Daniel Alejandro Calderón Virgen

student•

Veo soluciones mejores que la que encontré, pero la dejo de todas formas

app.use((req, res, next) => {
	res.header('Access-Control-Allow-Origin', '*');
	res.header('Access-Control-Allow-Headers', 'Authorization, X-API-KEY, Origin, 	X-Requested-With, Content-Type, Accept, Access-Control-Allow-Request-	Method');
	res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS, PUT, 	DELETE');
	res.header('Allow', 'GET, POST, OPTIONS, PUT, DELETE');
	next();
});

Phillip Leonardo Cabrera Medrano

student•

Lo ideal en mi caso es agregar el dominio desde el cual estoy haciendo la peticion en el achivo .htacces donde esta ubicada mi API.

Javier Alejandro Albornoz Pérez

student•

Consideraciones para el envio a Produccion

Cors: Evaluacion de acceso a quienes hacen las solicitudes.
Https: La api debe estar desplegada en un servidor https ya que es mas seguro.
Proceso de Build: Se debera correr antes de produccion.
Logs: A produccion no se debe enviar los logs.
Seguridad (Helmet): Es esencial.
Testing: Seria ideal correr pruebas unitarias.

Jesus Marcano

student•

La forma de solucionarlo es añadir la cabecera: "Access-Control-Allow-Origin", con el valor de la o las url de las que aceptaras peticiones. Tambien se puede especificar los metodos y headers. O puedes utilizar alguna libreria ; )

Gilbert Ardila

student•

de acuerdo a lo que dice el profesor en esta y un aclase anterior ¿se puede usar node con Typescript? y si la respuesta es sí ¿hay algun curso de node con Typescript? acabo de tomar la trilogía de node con el profe Nicolas y es brutal

Kevin Riquelme Valdes

student•

Tengo problemas para ingresar por Postman cuando configuro el CORS. Si llamo a los datos desde un dominio que configure en la whitelist, no tengo problemas. En mi caso use el port8080. Ahora cuando hago la peticion desde Postman, toma el error la constante de options, y me sale "No permitido"

Luis Alejandro Vera Hernandez

student•

Y cuando es a mi que me sale el problema del CORS por conectarme a otra API como se soluciona? Me acuerdo del curso de Vue2 que haciamos un Exchange de Criptomonedas y me salia ese error de CORS, unas veces si, otras veces no, siempre tenia que estar recargandole a ver si ya salia bien... Como se soluciona?

Nicolas Molina

teacher•

Este es un error que se soluciona desde el backend es decir la API debe poder explícitamente soportar conexiones desde otros lados hay algunas maneras en la cuales puedes crear un proxy en tu local, es más hay hasta algunas extensiones en Chrome que te pueden ayudar. Sin embargo, la solución es más desde del backend.

Alejandro Senger

student•

Me queda una grand duda... Usar helmet es tan simple como instalar y:

const helmet = require('helmet');
app.use(helmet());

O me estoy perdiendo de algo? Es raro que a estas alturas aparezca algo tan sencillo

const cors = require('cors');

var corsOptions = {
  origin: 'https://example.com',
  optionsSuccessStatus: 200 // some legacy browsers (IE11, various SmartTVs) choke on 204
}

app.use(cors(corsOptions ));

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>Document</title>
  </head>
  <body>
    <script>
      (async () => {
        const response = await fetch("poner tu endpoint aquí"); 
        const data = await response.json();
        console.log(data);
      })();
    </script>
  </body>
</html>

app.use((req, res, next) => {
	res.header('Access-Control-Allow-Origin', '*');
	res.header('Access-Control-Allow-Headers', 'Authorization, X-API-KEY, Origin, 	X-Requested-With, Content-Type, Accept, Access-Control-Allow-Request-	Method');
	res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS, PUT, 	DELETE');
	res.header('Allow', 'GET, POST, OPTIONS, PUT, DELETE');
	next();
});

Consideraciones para producción

Introducción

¿Qué es Express.js?

Configuración del entorno de desarrollo para este curso

Instalación de Express.js y tu primer servidor HTTP

Routing con Express.js

CRUD

¿Qué es una RESTful API?

¡Es tu turno: crea un tutorial!

GET: recibir parámetros

GET: parámetros query

Separación de responsabilidades con express.Router

Instalación de Postman o Insomia

POST: método para crear

PUT, PATCH y DELETE

Códigos de estado o HTTP response status codes

Servicios

Introducción a servicios: crea tu primer servicio

Crear, editar y eliminar

Async await y captura de errores

Middlewares

¿Qué son los Middlewares?

Middleware para HttpErrors

Manejo de errores con Boom

Validación de datos con Joi

Probando nuestros endpoints

Middlewares populares en Express.js

Deployment

Consideraciones para producción

Problema de CORS

Deployment a Heroku

Deployment a Vercel

Próximos pasos

Continúa en el Curso de Node.js con PostgreSQL