Configuración de autenticación con Passport en NestJS

¿Quieres proteger el acceso y personalizar funcionalidades en tu app? Aquí aprenderás a implementar autenticación en NestJS con Passport y una estrategia local usando email y password, una decisión clave para proyectos modernos con Node.js.

¿Cómo protege el sistema a los usuarios durante el login?

La contraseña de los usuarios ya está protegida y se excluye de las respuestas, preparando el terreno para implementar el login. Esto te permite restringir funciones como crear posts sólo a usuarios autenticados, mejorando la seguridad y la administración de permisos desde el principio.

¿Qué es Passport y por qué es útil en NestJS?

Passport es una librería popular en Node para autenticar usuarios. Ofrece numerosas strategies (estrategias), por ejemplo: - Local: usuario y contraseña. - Facebook, Twitter, Google: integración con redes sociales. - JWT: sesiones y autenticación basada en tokens.

NestJS tiene un paquete que facilita esta integración. El proceso inicia instalando Passport, la estrategia local y los types necesarios mediante la terminal, simplificando la gestión de autenticación en tu proyecto.

¿Cómo se estructura el módulo de autenticación y el módulo de usuarios?

• Crea un módulo específico para autenticación (auth module) y un servicio relacionado.
• Usa el ya existente módulo y servicio de usuarios (users module y user service), solo agregando un método getUserByEmail para buscar usuarios por email.
• Es buena práctica exponer servicios en exports para que otros módulos los puedan importar adecuadamente.
• El auth module debe importar explícitamente el user module para usar sus servicios exportados, asegurando así la comunicación efectiva entre módulos.

¿Cómo maneja la seguridad la validación de usuarios y contraseñas?

El método esencial es validateUser, que: - Recibe email y contraseña en texto claro, como siempre hace el usuario. - Busca el usuario por email usando getUserByEmail. - Aplica una excepción Unauthorized si el usuario no existe, evitando brindar detalles que puedan ayudar a atacantes (por ejemplo, evitando decir “usuario no encontrado”). - Compara contraseñas usando hashing y sólo retorna el usuario autenticado (sin password, gracias al exclude del repository).

Así, la validación se concentra en el método y se evitan filtraciones de información sensible ante intentos de acceso indebido.

¿Qué adapta la estrategia local de Passport para usar email en vez de username?

Por defecto, Passport espera el campo username. Para ajustarlo: - Crea una carpeta strategies y la clase LocalStrategy. - Configura el campo principal como email en el strategy. - Especifica el campo de la contraseña como password. - Importa cada strategy como provider en el auth module y asígnale un nombre (ejemplo, 'local') para buenas prácticas. - Integra también PassportModule desde NestJS entre las importaciones del auth module.

Esto permite que Passport trabaje de acuerdo a las necesidades reales de la app.

¿Cómo se expone el endpoint de login para completar la autenticación?

Una vez que la autenticación está lista, sólo falta exponer un endpoint en el auth controller. Así, mediante una petición con email y password, el sistema utiliza toda la configuración y seguridad explicada para iniciar sesión.

¿Te gustaría comentar cómo te ha funcionado esta configuración de autenticación o qué dudas te surgen al adaptar modularidad y Passport? Tu experiencia puede aportar mucho a otros desarrolladores.