Implementación de Login Seguro con JWT y Cifrado de Contraseñas

Clase 9 de 29 • Curso de Node.js: Autenticación, Microservicios y Redis

Contenido del curso

Introducción al proyecto del curso y su arquitectura

Creando la estructura principal

Autenticación basada en tokens

Almacenando datos: MySql

Microservicios en Node

Puesta en producción serverless

Cacheando nuestra aplicación

Puesta en producción en virtual machine

28
Instalación y Configuración de Microservicios en Máquinas Virtuales
07:45 min
29
Configuración de Nginx como proxy para microservicios en producción
06:40 min

Tomar examen

Resumen

¿Cómo registramos de manera segura los usuarios en una aplicación?

Al crear aplicaciones web, es crucial garantizar la seguridad de las credenciales de los usuarios. Un error común es almacenar contraseñas en texto plano, lo que puede resultar en filtraciones masivas. Por lo tanto, un buen enfoque es delegar la autenticación a terceros o implementar un sistema seguro en nuestra aplicación.

¿Cómo delegar la autorización a terceros?

Empresas como Facebook y Twitter ofrecen servicios externos de autenticación que facilitan la implementación de un sistema seguro:

OAuth o servicios de terceros: Permiten a los desarrolladores utilizar servicios comunes de autenticación, evitando manejar contraseñas directamente.
Uso de tokens de acceso: Facilitan la sesión de usuarios y el rendimiento de acciones en su nombre.

¿Cómo implementar un sistema seguro de login y cifrado de contraseñas?

Puedes crear un fluido de autentificación y asegurar que las contraseñas no se almacenen en texto plano:

Registro del usuario: Gereamos una sesión con un nombre de usuario (username) y una contraseña (password).
Cifrado de contraseñas: Encriptamos las contraseñas antes de almacenarlas en la base de datos.
Verificación de usuarios utilizando consultas sencillas en la base de datos para verificar la existencia del usuario y la validez de la contraseña.

const data = await store.find({
  table: 'users', 
  query: { username: request.body.username }
});

if (data.password === request.body.password) {
  return generateToken(data);
} else {
  throw new Error("Información inválida");
}

¿Cómo generar un token de acceso?

Para crear un token de acceso se puede usar la librería jsonwebtoken para firmar los datos del usuario, proporcionando un método seguro de autenticación:

const jwt = require('jsonwebtoken');

function signUserToken(userData) {
  return jwt.sign(userData, 'your-secret-key');
}

¿Sobre qué debemos estar atentos?

No guardar contraseñas en texto plano: Almacenar contraseñas cifradas usando técnicas como hashing.
Control de errores: Es esencial manejar los errores sin enviar mensajes detallados que puedan ayudar a un atacante (p. ej., "Información inválida" en lugar de detalles).
Validación regular de tokens: Implementar un proceso de verificación para asegurar que los tokens de acceso son válidos y no han sido comprometidos.

Implementando estos pasos, mejorarás significativamente la seguridad de las credenciales en tu aplicación web. Es momento de poner manos a la obra y reforzar las defensas de tu aplicación. Si tienes interés en profundizar en técnicas de seguridad y cifrado de contraseñas, sigue explorando y mantente actualizado. ¡Es el mejor camino hacia el conocimiento y la excelencia!

Miguel Angel Reyes Moreno

student•

No me funciona upsert :/ siempre recibo name y usernmae como undefined y no sé a qué se deba.

Dejo mi código por si alguien me quiere ayudar:

network.js de la carpeta user:

const express = require('express');

const response = require('../../../network/response');
const Controller = require('./index');

const router = express.Router();

// Routes
router.get('/', list);
router.get('/:id', get);
router.post('/', upsert);
router.put('/', upsert);

function list(req, res) {
  Controller.list()
    .then(lista => {
      response.success(req, res, lista, 200);
    })
    .catch(error => {
      response.error(req, res, error.message, 500);
    })
}

function get(req, res) {
  Controller.get(req.params.id)
    .then(user => {
      response.success(req, res, user, 200);
    })
    .catch(error => {
      response.error(req, res, error.message, 500);
    })
}

function upsert(req, res) {
  Controller.upsert(req.body)
    .then(user => {
      response.success(req, res, user, 201);
    })
    .catch(error => {
      response.error(req, res, error.message, 500);
    })
}

module.exports = router;

controller.js de la carpeta user:

//* Debe tener acceso a network

const { nanoid } = require('nanoid');
const auth = require('../auth');

const TABLA = 'user';

module.exports = function(injectedStore) {
  let store = injectedStore;
  if (!store) {
    store = require('../../../store/dummy');
  }

  function list() {
    return store.list(TABLA);
  }

  function get(id) {
    return store.get(TABLA, id);
  }

  async function upsert(body) {
    const user = {
      name: body.name,
      username: body.username,
    }

    if (body.id) {
      user.id = body.id;
    } else {
      user.id = nanoid();
    }

    if (body.password || body.username) {
      await auth.upsert({
        id: user.id,
        username: user.username,
        password: body.password,
      });
    }

    return store.upsert(TABLA, user);
  }

  function remove(id) {
    return store.remove(TABLA, id);
  }

  return {
    list,
    get,
    upsert,
    remove,
  }
}

dummy.js:

const db = {
  'user': [
    { id: '1', name: 'Miguel' },
    { id: '2', name: 'Ángel' },
  ]
}

async function list(table) {
  return db[table] || [];
}

async function get(table, id) {
  let collection = await list(table);
  return collection.filter(item => item.id === id)[0] || null;
}

async function upsert(table, data) {
  if (!db[table]) {
    db[table] = []
  }
  db[table].push(data);

  console.log(db);
}

async function remove(table, id) {
  db[table].splice(id,1)
}

async function query(table, queryParam) {
  let collection = await list(table);
  let keys = Object.keys(queryParam);
  let key = keys[0];
  return collection.filter(item => item[key] === queryParam[key])[0] || null;
}

module.exports = {
  list,
  get,
  upsert,
  remove,
  query
}

Francisco López

Raul Contreras

Alver Alexander Grisales Ortega

Juan Teixeira

Jean Carlos Hernandez Carrasquel

Stiven Castillo Montero

Reinaldo Mendoza

Jhonny Barrios

Josué Aaron Campos Brenes

Luis Alexander Chip Teleyón

Xavier Alberto Garcia Navarro

Sneyder Barreto

José Antonio Torres

Briam Martínez Escobar

Luis Antonio Rodriguez Garcia

Rigo Antonio Galicia Barrera

Wilson Fernando Antury Torres

Daniel Alberto Esquinazi

Cesar Merlo

Julian Alves Da Rocha

Luis Gerardo López Hernández

Jorge Carrion

Dilan Santiago Ariza Cañon

Fernando Hernandez

Naldo Duran

Maximiliano Emmanuel Alvarez Marchesi

Victor Manuel Lagunas Franco

RAMIRO ENRIQUE GRISALES NOGUERA

Jaime Navarro Rosales

Santiago Lopera Naranjo

Andrés Alberto García Ardila

Implementación de Login Seguro con JWT y Cifrado de Contraseñas

Introducción al proyecto del curso y su arquitectura

Creación de Backend Complejo con Microservicios y Arquitectura Escalable

Modelado de Datos para una Red Social Básica en SQL

Creando la estructura principal

Configuración de un Servidor API con Express y Node.js

Estructuración de API y Gestión de Datos en JavaScript

Controladores con Inyección de Dependencias en Node.js

Documentación de APIs con Swagger en Node.js

Autenticación basada en tokens

Autenticación y Seguridad con Tokens JWT en Aplicaciones Web

Autenticación de Usuarios con JWT y Gestión de Contraseñas Seguras