Administración de Bloques de Tiempo en Aplicaciones Web

Clase 24 de 30 • Curso de Backend con ExpressJS

Resumen

La gestión de permisos y roles es un componente fundamental en el desarrollo de aplicaciones web modernas. En este contenido, exploraremos cómo implementar un sistema de administración para una aplicación de reserva de citas, donde solo los usuarios con rol de administrador pueden crear bloques de tiempo disponibles para las citas. Esta estructura no solo mejora la seguridad de nuestra aplicación, sino que también establece un flujo de trabajo organizado y eficiente.

¿Cómo estructurar la lógica de administración en una API de reservas?

Antes de sumergirnos en el código, es importante entender la lógica de negocio detrás de nuestra aplicación. Solo un administrador puede agregar bloques de tiempo en los que los usuarios pueden registrar sus citas. Esta restricción requiere implementar una estructura de control de acceso basada en roles.

Para lograr esto, necesitamos crear:

Rutas específicas para administradores
Controladores que manejen las solicitudes
Servicios que implementen la lógica de negocio
Validaciones de permisos basadas en roles

Configuración de las rutas de administrador

El primer paso es establecer las rutas que solo serán accesibles para los administradores. Comenzamos modificando nuestro archivo de rutas principal:

// routes/index.js
router.use('/admin', adminRoutes);

const adminRouter = require('./admin');

Luego, creamos un archivo específico para las rutas de administración:

// routes/admin.js
const router = require('express').Router();
const adminController = require('../controllers/adminController');

// Ruta para crear bloques de tiempo
router.post('/timeblocks', adminController.createTimeBlock);

// Ruta para listar todas las reservaciones
router.get('/reservations', adminController.listReservations);

module.exports = router;

Estas rutas definen dos funcionalidades principales para los administradores:

Crear nuevos bloques de tiempo disponibles para citas
Ver todas las reservaciones realizadas por los usuarios

Implementación del controlador de administración

El controlador es responsable de recibir las solicitudes HTTP, validar los permisos del usuario y coordinar con los servicios correspondientes:

// controllers/adminController.js
const createTimeBlockService = require('../services/adminService').createTimeBlockService;
const listReservationsService = require('../services/adminService').listReservationsService;

const createTimeBlock = async (req, res) => {
  // Verificar si el usuario tiene rol de administrador
  if (req.user.role !== 'admin') {
    return res.status(403).json({ error: 'Access Denied' });
  }

  // Obtener datos del cuerpo de la solicitud
  const { startTime, endTime } = req.body;

  try {
    // Llamar al servicio para crear el bloque de tiempo
    const newTimeBlock = await createTimeBlockService(startTime, endTime);
    res.status(201).json(newTimeBlock);
  } catch (error) {
    res.status(500).json({ error: 'Error creating time block' });
  }
};

const listReservations = async (req, res) => {
  // Verificar si el usuario tiene rol de administrador
  if (req.user.role !== 'admin') {
    return res.status(403).json({ error: 'Access Denied' });
  }

  try {
    // Obtener todas las reservaciones
    const reservations = await listReservationsService();
    res.json(reservations);
  } catch (error) {
    res.status(500).json({ error: 'Error obteniendo las reservaciones' });
  }
};

module.exports = {
  createTimeBlock,
  listReservations
};

Validación de permisos de administrador

Un aspecto crucial de nuestra implementación es la validación de permisos. Observa cómo en cada función del controlador verificamos si el usuario tiene el rol de administrador:

if (req.user.role !== 'admin') {
  return res.status(403).json({ error: 'Access Denied' });
}

Esta simple verificación garantiza que solo los usuarios con el rol adecuado puedan acceder a estas funcionalidades. Si un usuario sin permisos intenta acceder, recibirá un error 403 (Forbidden).

¿Qué información necesitamos para crear bloques de tiempo?

Para crear un bloque de tiempo, necesitamos dos piezas esenciales de información:

startTime: La hora de inicio del bloque
endTime: La hora de finalización del bloque

Estos datos se extraen del cuerpo de la solicitud:

const { startTime, endTime } = req.body;

Luego, estos valores se pasan al servicio correspondiente, que se encargará de la lógica de negocio y la interacción con la base de datos.

Estructura de servicios para la lógica de negocio

Aunque no se muestra la implementación completa de los servicios en el código proporcionado, es importante entender que estos serán responsables de:

Validar los datos recibidos
Interactuar con la base de datos (probablemente usando Prisma, según se menciona)
Manejar cualquier lógica de negocio específica
Devolver los resultados al controlador

Esta separación de responsabilidades sigue el principio de responsabilidad única y hace que nuestro código sea más mantenible y testeable.

¿Por qué es importante la separación de responsabilidades?

La estructura que estamos implementando sigue un patrón común en el desarrollo de aplicaciones:

Rutas: Definen los puntos de entrada a nuestra API
Controladores: Manejan las solicitudes HTTP y coordinan con los servicios
Servicios: Implementan la lógica de negocio y la interacción con la base de datos

Esta separación ofrece múltiples beneficios:

Mantenibilidad: Cada componente tiene una responsabilidad clara
Testabilidad: Es más fácil escribir pruebas unitarias para componentes aislados
Escalabilidad: Podemos modificar o extender un componente sin afectar a los demás
Legibilidad: El código es más fácil de entender y seguir

La implementación de esta estructura puede parecer más trabajo inicialmente, pero a largo plazo facilita enormemente el mantenimiento y la evolución de la aplicación.

La gestión adecuada de roles y permisos es fundamental para garantizar la seguridad y el funcionamiento correcto de cualquier aplicación con diferentes tipos de usuarios. ¿Has implementado sistemas similares en tus proyectos? Comparte tu experiencia en los comentarios y cuéntanos qué estrategias has utilizado para manejar la autorización en tus aplicaciones.

Comentarios

Cristian Arellano

student•

Es mas fácil aplicar los middlewares de autenticación y verificación de rol a nivel del router. Esto mantiene el código más limpio, evita duplicación en cada ruta y garantiza que todas las rutas estén correctamente protegidas por defecto.

// routes/admin.js
const router = require('express').Router();
const adminController = require('../controllers/adminController');

// Middlewares de autenticación y verificación de rol
const authenticateToken = require('../middlewares/auth');
const { requireRole } = require('../middlewares/roleAuth');

// Aplicamos autenticación y rol ADMIN a todas las rutas del router.
// Esto protege todo el módulo sin repetir los middlewares en cada endpoint.
router.use(authenticateToken, requireRole('ADMIN'));

// Ruta para crear bloques de tiempo
router.post('/timeblocks', adminController.createTimeBlock);

// Ruta para listar todas las reservaciones
router.get('/reservations', adminController.listReservations);

module.exports = router;

Juan Esteban Solarte Idrobo

student•

Excelente forma de entender aun mas los controllers

Administración de Bloques de Tiempo en Aplicaciones Web

Introducción a Node.js y Express

Desarrollo de APIs REST con ExpressJS y Node.js

Gestión de Versiones y Configuración de Node.js con NVM

Configuración y uso de variables de entorno en Node.js

Configuración de Body Parser en Express para APIs RESTful

Procesamiento de Formularios y JSON con Body Parser

Creación y Configuración de Workspaces en Postman para API Testing

CRUD

Construcción de una API RESTful con Express.js y métodos HTTP

Lectura y Escritura de Archivos en Node.js con FS y Path

Creación de Usuarios con Método POST en Node.js

Actualización de Usuarios con Node.js y Express

Validaciones en POST y PUT para Datos de Usuario en APIs

Eliminar Usuarios en un CRUD usando Node.js y Express

MIddlewares

Creación de Middleware para Registro de Solicitudes en Express

Manejo de Errores en Middleware con Node.js

DB

Construcción de una API para Reserva de Citas Médicas con PostgreSQL

Instalación y Configuración de Prisma para Node.js con PostgreSQL

Creación y Gestión de Usuarios con Prisma y Node.js

JWT

Implementación de Autenticación con JSON Web Tokens (JWT)

Registro de Usuarios y Almacenamiento Seguro de Contraseñas

Autenticación de Usuarios con JSON Web Tokens y Prisma

Expres.js

Organización y estructuración de aplicaciones Node.js con Express

Separación de controladores y servicios en Node.js

Modelado de Citas Médicas con Prisma y PostgreSQL

Administración de Bloques de Tiempo en Aplicaciones Web

"Implementación de Servicios Administrativos con Prisma"

Gestión de Reservas: Creación, Actualización y Eliminación

Servicios y Controladores para Gestión de Reservas en Node.js

Gestión de Citas con Node.js y Express

Deploy

Despliegue de API Express con PostgreSQL en Railway

Despliegue de API Express en la Nube con Base de Datos Conectada