Tipos de autenticación en Laravel

Clase 6 de 33 • Curso Avanzado de Laravel

Contenido del curso

Laravel y Base de Datos

Entorno de trabajo y repaso de Laravel

Manejo de tu base de datos con Laravel

La terminal de Laravel

Eventos y tareas de Laravel

Manejo de errores

El corazón de Laravel

Creación de paquetes

Tomar examen

Resumen

Implementa autenticación en Laravel con confianza: desde el scaffolding básico de registro con Laravel UI hasta la protección de rutas API con Laravel Sanctum, pruebas automatizadas sin errores 401 y emisión de tokens seguros con un controlador de acción única. Todo con sesiones basadas en cookies, protección CSRF y defensa ante XSS para SPA.

Configuración de autenticación con Laravel UI y Sanctum

Para iniciar, Laravel ofrece varios tipos de autenticación. Primero, Laravel UI brinda un scaffolding básico para registro y acceso por web. Luego, Sanctum habilita autenticación para SPA y APIs con sesiones y cookies o con tokens personales.

¿Cómo habilitar el scaffolding de Laravel UI?

Instala el paquete y publica sus recursos con vendor publish.
Se generan una migración y un archivo de configuración.
Ejecuta las migraciones para preparar la base de datos.

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
php artisan migrate

¿Qué trait y middleware activan Sanctum para SPA?

En el modelo User añade el trait HasApiTokens para poder crear tokens.

use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens; // habilita creación de tokens
}

En el Kernel agrega el middleware de Sanctum en el grupo 'api' para solicitudes de SPA con cookies stateful, protección CSRF y defensa ante filtración de credenciales por XSS.

protected $middlewareGroups = [
    'api' => [
        \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
        // ...
    ],
];

¿Cómo proteger rutas API con auth:sanctum?

Aplica el middleware a las rutas que quieras proteger.

// routes/api.php
Route::middleware('auth:sanctum')->get('/ruta-protegida', function () {
    return 'OK';
});

Si un cliente no está autenticado, obtendrá un 401: no autorizado.

Pruebas de autenticación con Sanctum

Al proteger las rutas con auth:sanctum, tus pruebas pueden fallar con 401. Sanctum provee una forma simple de simular un usuario autenticado en tests.

¿Qué indica un 401 en los tests?

Que la ruta requiere autenticación y el test no está actuando como usuario.
Solución: autenticar un usuario de prueba antes de la solicitud.

¿Cómo usar Sanctum::actingAs con factory?

Crea un usuario con factory y autentícalo con acting_as.

use Laravel\Sanctum\Sanctum;
use App\Models\User;

Sanctum::actingAs(User::factory()->create());

Repite esto en cada prueba que lo requiera.

¿Cómo aplicar autenticación en setUp?

Centraliza la autenticación para toda la clase de pruebas.

protected function setUp(): void
{
    parent::setUp();

    Sanctum::actingAs(User::factory()->create());
}

Resultado: las pruebas pasan al tener contexto autenticado por API.

Generación de tokens con un Single Action Controller

Para emitir tokens personales, crea un controlador de acción única que valide credenciales y retorne el token en formato JSON.

¿Cómo crear el controlador y validar el request?

Genera el controlador e implementa el método __invoke.

php artisan make:controller UserTokenController

namespace App\Http\Controllers;

use App\Models\User;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
use Illuminate\Validation\ValidationException;

class UserTokenController extends Controller
{
    public function __invoke(Request $request)
    {
        $data = $request->validate([
            'email' => ['required', 'email'],
            'password' => ['required'],
            'device_name' => ['required'],
        ]);

        $user = User::where('email', $data['email'])->first();

¿Cómo verificar credenciales y lanzar errores?

Si el usuario no existe o la contraseña no coincide, lanza una excepción de validación.

        if (! $user || ! Hash::check($data['password'], $user->password)) {
            throw ValidationException::withMessages([
                'email' => 'El email no existe o no coincide con nuestros datos.',
            ]);
        }

Importa Hash por namespace y usa Hash::check para comparar la contraseña con el hash almacenado.

¿Cómo crear el token, ruta y probar el endpoint?

Crea el token con el trait HasApiTokens y retorna JSON.

        $token = $user->createToken($data['device_name'])->plainTextToken;

        return response()->json(['token' => $token]);
    }
}

Define la ruta tipo POST hacia el controlador.

use App\Http\Controllers\UserTokenController;

Route::post('/sanctum-token', UserTokenController::class);

Prueba con tu HTTP client: envía email, password y device_name a la ruta configurada. Si omites la contraseña, verás un mensaje de error de validación.

{
  "email": "usuario@correo.com",
  "password": "secreto",
  "device_name": "mi-dispositivo"
}

¿Quieres que revisemos tu configuración o tu flujo de pruebas con Sanctum? Cuéntame en los comentarios qué parte te gustaría profundizar y en qué entorno estás trabajando.

Comentarios

Sergio Andrés Martínez Ramírez

student•

Creo que faltó un pedazo al inicio del video, para instalar Sanctum debe hacerse con el siguiente código desde la terminal:

composer require laravel/sanctum

Sergio Ojeda

teacher•

Tienes razón! Para instalarlo hay que ejecutar el comando.

Jean Nuñez

student•

esto ayuda mucho, gracias

Oscar Stevens Cuartas Bejarano

student•

demasiados DEMASIADOSSS criterios sin explicar en este curso, perdido totalmente apesar de haber visto los anteriores de php y laravel, lo extraño es que cuando habla se le entiende lo que dice, se nota que tampoco es arrogante y su lenguaje y manera de explicar es muy amigable, que paso aqui platzi???

Jimmy Buriticá Londoño

student•

Tienes toda la razón. Estaba pensando similar, llegue a este curso con muchas expectativas, pero no me siento cómodo. Igual el que hayan varios profesores, es una ventaja de Platzi. Puede que a otras personas si les vaya bien. Seguiré con el curso ...

Ruben Ariel Villalobos

student•

la verdad si, es un curso muy desprolijo

Wilder Cahuaya Quispe

student•

Se extraña al profesor Italo uu

Carlos Eduardo Culupu Aquino

student•

Diego Alejandro Toro Reyes

student•

confirmooo!!!

Axel David Espinosa Meneses

student•

Si están utilizando PostMan deben de modificar el Header Accept para que solo de respuesta Postman acepte del tipo application/json.

Quedaría algo como:

Accept: application/json

Yoni Sebastian Zamora

student•

Gracias, no recordaba ese ajuste

Erika De La Luz Castellanos

student•

La validación dentro de UserTokenController, debería quedar así, ésto para que en caso de que el usuario no exista o la contraseña no es correcta, nos lance el mensaje de error.

if (!$user || !Hash::check($request->password, $user->password)) {
         throw ValidationException::withMessages([
               'email' => ['El email no existe o no coincide con nuestros datos.'],
	]);
}

Juan Ortega

student•

Totalmente de acuerdo contigo. Eso mismo he pensado yo :-)

Earvin Saúl Pérez Ramos

student•

Para crear el usuario pueden utilizar tinker

php artisan tinker

App\User::create(['name'=>'nombre','email'=>'correo@dominio.com','password'=>Illuminate\Support\Facades\Hash::make('contraseña')];

dennis oswaldo saenz hernandez

student•

para los que usen este snippet, falta cerrar el parentesis y en laravel 8x el modelo user esta dentro de la carpeta Models


App\Models\User::create([‘name’=>‘nombre’,‘email’=>‘correo@dominio.com’,‘password’=>Illuminate\Support\Facades\Hash::make(‘contraseña’)]);```

Rodrigo Ortega

student•

excelente, me sirvió mucho, te faltó un paretesis y queda ok ;)

>>> App\User::create(['name'=>'nombre','email'=>'correo@dominio.com','password'=>Illuminate\Support\Facades\Hash::make('contraseña')]);

Tomas Goldenberg

student•

el video esta cortado no esta la parte de laravel ui

Joceline Iliana Vasquez Aguilar

student•

y a estas alturas no lo arreglan

Tomas Goldenberg

student•

TRABAJANDO CON EL COMPONENTE LARAVEL/UI
SISTEMA DE LOGIN Y REGISTRO

TERMINAL: composer require laravel/ui --dev

php artisan ui bootstrap --auth  
//basic login and registration views and routes con estilo de bootstrap

-npm install
-npm run dev

tambien se creo
en routes/web.php
	Auth::routes();

	Route::get('/home', 'HomeController@index')->name('home');

en resources/views
-la carpeta auth y dentro
	varias vistas
	la carpeta layout con mas vistas
	la carpeta passwords con mas vistas


- en controllers se creo un HomeCOntroller
	usa el sistema de auth, el middleware de auth


-se creo  en public una carpeta de css y otra de JS
(en realidad se compilo lo el sass y el js que teniamos en resources y se fue a la carpeta public gracias al archivo webpack. ahi esta configurado) 
	

 ahora en la ruta "/"  agrego 2 botones unos de login y de register

Marcos Rodriguez

student•

Hay muchos errores empezando por la logica mal implementada en el Throw

Esto esta mal porque literlamente dice: Si el usuario no existe y si el password no coincide

 if (!$user && !Hash::check($request->password, $user->password) {

Lo correcto seria:

 if (!$user || !Hash::check($request->password, $user->password) {

Luis Eduardo Sandrea Pacheco

student•

Publico algunos cambios en mi UserTokenController que a mi me ha funcionado mejor:

<?php

namespace App\Http\Controllers;

use App\User;
use Illuminate\Support\Facades\Hash;
use App\Http\Requests\UserTokenRequest;
use Illuminate\Validation\ValidationException;

class UserTokenController extends Controller
{
    
    public function __invoke(UserTokenRequest $request)
    {
        $user = User::where('email', $request->email)->first();

        if ( !$user->exists() || !Hash::check($request->password, $user->password) ) {
            throw ValidationException::withMessages([
                'email' => 'El usuario no se encuentra o es incorrecto'
            ]);
        }

        return response()->json([
            'token' => $user->createToken($request->device_name)->plainTextToken
        ]);
    }
}

Jimmy Buriticá Londoño

student•

Muchas gracias.

Leonardo Gomez

student•

Crees que sea mejor el uso de Sanctum o Laravel-Passport ?

Sergio Ojeda

teacher•

Depende para que lo vayas usar, si necesitas unicamente autenticación de una SPA o una API a tráves de un usuario y contreseña, que es lo mas común sin duda te digo que uses Sanctum.

Si por otro lado por requerimiento necesitas un server Oauth2, la opción es Passport.

Irving Fritz Meyer Gutiérrez

student•

Passport es mas robusto. Haces una autentificación Oauth2.

Pero no merece la pena invertir tanto tiempo en incluir passport en tu proyecto si solo necesitas una autentificacion simple con usuario y password.

Carlos Eduardo Gomez García

teacher•

Vale, el video está cortado y no se explicó lo de Laravel UI (Pero se explica en otros cursos) Laravel UI nos provee la autenticación en el caso que estemos trabajando sobre una aplicación que va a renderizar Laravel, no sobre una API, esto porque la API no contiene nada de lógica de frontend, todo es backend ^^

Les dejo la url del commit de esta clase:

Carlos Eduardo Culupu Aquino

student•

Creo que deberían de mejorar este curso, hay muchas cosas que se dejan al aire, existen cortes en el video, no se que paso con este curso si todos los anteriores a este con el profesor Italo Morales eran muy buenos...

Miguel Angel Muñoz Pozos

student•

Un pregunta profe

al usar throw ValidationException::withMessages([]

si falla a mi me manda a http://127.0.0.1:8000 no me salen los mensaje de la excepciones

que tengo que hacer me puede ayudar por favor

Miguel Angel Muñoz Pozos

student•

Ya lo solucione

lo que pasa es que el profe ya tiene configurado su insomnia entonces no entendía como es que laravel le regresaba eso mensajes tan bonitos de error

entonces la solución es mandar header

Sergio Ojeda

teacher•

Asi es, para que Laravel nos devuelva mensajes en Json, toca siempre enviar el header Accept: application/json

De otra manera la respuesta es Http. Si nuestra aplicación es unicamente una API, incluso podemos hacer un middleware para que cada petición que entre se setee automaticamente este Header. Por ejemplo:

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;

class SetApiDefaultHeaders
{
    /**
     * @return mixed
     */
    public function handle(Request $request, Closure $next)
    {
        $request->headers->set('Accept', 'application/json');

        return $next($request);
    }
}

Manuel Ojeda

student•

En el caso del if donde verifica si User existe o el hash coincide tuve que separarlo porque daba un error de que el user->password no encontraba la propiedad password, quedó de la siguiente manera:

if (!$user) {
  throw ValidationException::withMessages([
    'email' => 'El email no existe o no coincide con los datos',
  ]);            
}

if (!Hash::check($request->password, $user->password)) {
  throw ValidationException::withMessages([
    'email' => 'El email no existe o no coincide con los datos',
  ]);            
}

Emerson Cedeño

student•

esto también se soluciona cambiando el ~~AND~~ por el OR en el if, lo curioso es que "durante" la clase coloca AND y todo funciona, pero en el código que comparten la condicional está escrita con OR … 🤔

Facundo Antonio Quiroga Massenlli

student•

confirm el if funciona con ||

Steeven Bolivar Quijije Lacerna

student•

Para quienes ha tenido problemas no se olviden de poner en los archivos del test

<code> 
use App\User;
use Laravel\Sanctum\Sanctum;

Hector Rubio

student•

Siento que esta todo mal explicado, muchas cosas

Joaquin Villamediana

student•

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"

Julian David Alzate Cuervo

student•

Actualmente estoy intentando realizar este curso pero pareciera que hubieran cortado clases por que aparece el controlador de categoría así como por arte de magia

Manuel Angel Lemus Recinos

student•

lo dejo como tarea en clases anteriores, cuando se hizo el de productos, yo te puedo ayudar si tienes dudas, no soy el mejor pero hay iniciativa heheh

Luis Fernando Cruz Carrillo

student•

Este curso necesita una nueva edición, está como mal editado.

Jaime Andres Ruiz Melendres

student•

Les dejo una manera optima de hacer un login o creación de token en laravel +8

public function __invoke(Request $request)
    {
        $request->validate([
            'email' => 'required|email',
            'password' => 'required',
            'device_name' => 'required'
        ]);
         throw_if(!Auth::guard('web')->attempt($request->only('email','password')), ValidationException::withMessages([
             'email' => 'Credenciales incorrectas'
         ]));

         return response([
             'token'=> Auth::guard('web')->user()->createToken($request->device_name)->plainTextToken
         ])->setStatusCode(Response::HTTP_OK);

    }

Y para crear el usuario rápido, usen esta forma en el archivo DatabaseSeeder.php

User::create([
            'name' => 'Admin',
            'email' => 'admin@gmail.com',
            'password' => '$2a$10$7oMxkBuQ0PpbVxpJl0ufNerj0TTuZmRxrD76LlyKCaMCh8bpZqVS2',   //admin
        ]);

Tipos de autenticación en Laravel

Laravel y Base de Datos

Entorno de trabajo y repaso de Laravel

Qué aprenderás sobre Laravel Avanzado

Instalación de Laravel con Composer

Configuración SQLite y API productos Laravel

Instalación, configuración y uso de Homestead

Instalar Laravel Sanctum