Implementación de Authorization Code Flow con Spotify y React

Clase 14 de 25 • Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Resumen

¿Cómo implementar Authorization Code Flow en Spotify?

La implementación del Authorization Code Flow con Spotify es fundamental para permitir que aplicaciones web accedan de manera segura a los recursos de un usuario. Este flujo de autorización es ampliamente utilizado debido a su seguridad y versatilidad en diferentes servicios. Vamos a explorar los pasos necesarios para configurar y utilizar este flujo en Spotify.

¿Cómo creamos y configuramos una aplicación en Spotify?

El primer paso para implementar este flujo es crear y configurar una aplicación en el dashboard de desarrolladores de Spotify. Aquí están los pasos básicos para lograrlo:

Autenticarse: Inicia sesión con tu cuenta de Spotify para acceder al dashboard.
Crear una aplicación: Dentro del dashboard, crea una nueva "App", que Spotify denomina aplicaciones de manera amigable.
Registrar cliente: Asigna un nombre y una descripción a tu aplicación, acepta los términos y presiona "crear".
Obtener credenciales: Copia tu Client ID y Client Secret, esenciales para autenticar tu aplicación. No los compartas públicamente.

¿Cómo configurar y manejar un proyecto que utiliza Next.js y React?

El proyecto se beneficia significativamente del uso de Next.js, un marco React que permite gestionar APIs del lado del servidor:

Configurar el entorno: Instala y configura un proyecto React con Next.js.
Variables de entorno: Guarda tu Client ID, Client Secret y la URL de redirección en tus variables de entorno.
Crear un botón de conexión: En el archivo index.js, agrega un botón que redirija a la API de inicio de sesión (api/login).

¿Cómo realizar un Request Authorization?

Para solicitar autorización al servidor, deben configurarse ciertos parámetros:

Scopes necesarios: Define los scopes necesarios para el acceso a los endpoints específicos de Spotify:
- read_private
- read_email
- playlist_read_private
Parámetros del query: El query debe incluir:
- response_type como code
- client ID
- Scopes separados por espacios
- redirect_uri de la aplicación
Construcción del query string: Usa query-string para transformar estos parámetros en un query string formateado correctamente.

const queryString = require('query-string');

let query = {
  response_type: 'code',
  client_id: process.env.SPOTIFY_CLIENT_ID,
  scope: scopes.join(' '),
  redirect_uri: process.env.REDIRECT_URI
};

const authURL = `https://accounts.spotify.com/authorize?${queryString.stringify(query)}`;

¿Cómo intercambiar un código por un token de acceso?

Una vez que se obtiene el código de autorización del servidor, el siguiente paso es obtener un token de acceso a través del backend, necesario para consumir la API de Spotify:

Realizar el fetch: Usa fetch para enviar un POST request a la URL del token de Spotify.
Headers necesarios: Define Content-Type y Authorization usando Basic Auth con Client ID y Client Secret.
Parámetros del cuerpo: Envía el code, redirect_uri, y tipo de grant authorization_code en el cuerpo de la solicitud.

const response = await fetch('https://accounts.spotify.com/api/token', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded',
    'Authorization': `Basic ${Buffer.from(`${process.env.SPOTIFY_CLIENT_ID}:${process.env.SPOTIFY_CLIENT_SECRET}`).toString('base64')}`
  },
  body: queryString.stringify({
    code: codeFromRequest,
    redirect_uri: process.env.REDIRECT_URI,
    grant_type: 'authorization_code'
  })
});

¿Cómo manejar y almacenar el token de acceso?

Finalmente, para interactuar con la API de Spotify, el token de acceso debe almacenarse de forma segura y transmitirse al cliente de manera efectiva, utilizando cookies HTTP-only para mayor seguridad:

Creación de la cookie: Guarda el access_token dentro de una cookie HTTP-only.
Consumo del token: Usa el token en la aplicación cliente para acceder a recursos protegidos, como el perfil del usuario o las listas de reproducción.

Explorar estos pasos y asegurarse de comprender cada parte del flujo de OAuth puede parecer desafiante al principio, pero con la práctica, se convierte en un proceso más sencillo. ¡Anímate a probar este flujo con otros servicios y seguir ampliando tus habilidades de integración OAuth!

Christian Valenzuela

student•

Esta es una de las partes que mas llena este curso, ver los ejemplos practicos de cada uno de los flujos y verlos aplicados en aplicaciones reales y grandes.

De verdad, emociona poder entender todas las terminologias y diagramas jaja

Cesar Payro

student•

cual extension en vscode hace ese autocompletion tan avanzado? que pone todo el codigo que vas a tipear? (a diferencia del 'default' simple code completion?

Guillermo Rodas

teacher•

Es GitHub Copilot, un asistente de IA, es de pago pero hay alternativas como Tabnine o AWS CodeWhisperer.

Alexander Toro

student•

Realicé la implementación con Google Oauth 2. las credentials se generan desde el GCP console credentials: https://console.cloud.google.com/apis/credentials

Acá se encuentran los scopes que como aprendimos dependen del servicio que quieras consumir, google tiene muchos servicio, pero en general spreadsheets (excel de google), drive, gmail son algunos de los mas comunes para usar: https://developers.google.com/identity/protocols/oauth2/scopes

La url de autenticación es: https://accounts.google.com/o/oauth2/v2/auth

Y la del token: https://oauth2.googleapis.com/token

ntt data

student•

Es muy interesante ver como consumir un servidor de autenticación PERO también me interesa ver como crear nuestro propio servidor de autenticación bajo el protocolo OAuth2.0 y que tener en cuenta para ello, espero un curso de esto!

$Julio Armando Eufraccio$

Julio Armando Eufraccio

student•

Hola Profe,

En la parte final, referente a

export default function Home({ accessToken }) { const { response: userProfile } = useFetch(SPOTIFY_ME_ENDPOINT, accessToken);

const playlistUrl = SPOTIFY_PLAYLISTS_ENDPOINT(userProfile?.id); const { response: userPlaylists } = useFetch(playlistUrl, accessToken);

return ( <MainContainer> <Card userPlaylists={userPlaylists} userProfile={userProfile} /> </MainContainer> );

me aparece este error en el /home

Application error: a client-side exception has occurred (see the browser console for more information).

Espero pueda ayudarme. Saludos

Edgar Wilson Vásquez Coronado

student•

A alguien mas se le pausa el video a cada momento ?

Guillermo Rodas

teacher•

Creo que si cambias de server en las opciones del navegador se puede ver mejor.

Guillermo Rodas

teacher•

También a veces ayuda pausar el video por un momento. Parece que no se puede seleccionar la calidad de descarga por defecto y debe estar bajando a mucha calidad, pero solo lo estoy asumiendo, quizas alguien de Platzi nos pueda ayudar por acá.

Hector Rojo

student•

Hay alguna clase donde se explique esto mismo usando Python?

Guillermo Rodas

teacher•

Hola Hector, las clases de este curso son usando JavaScript, pero si usaras Python, tendrías simplemente que asegurarte de tener un endpoint que pueda hacer un redirect. Deben haber muchos ejemplos en Python puesto que el Authorization Code Flow se puede implementar en cualquier lenguaje.

Alfredo David Sumosa

student•

Siguiendo con la pregunta sobre GitHub Copilot, me gustaría saber que opinion personal tienen sobre este tipo de herramientas de IA y como perciben el impacto en la profesión de Ingeniero de Software?

Guillermo Rodas

teacher•

Nos están ayudando a ser más eficientes, hay que aprender a usar estas herramientas pero sigue siendo importante entender cómo funciona las cosas para saber qué preguntas hacerle.

Julio Bastidas

student•

en el caso de que sea un SPA como sería? acá el ejemplo lo hacen con nextjs teniendo en cuenta el SSR, pero según mi pregunta, cuando se hace mediante un SPA cual sería el mejor método??

Bryan Key

student•

Bien, ahora tengo una duda existencial, ya con esa cookie que nos estamos enviando en cada peticion desde el frontend a todos lados en HOME, podemos mandarla tambien a nuestros propios endpoint sacarla y validarla contra un endpoint de Spotify por expiracion o algo?

Bryan Key

student•

A mi personalmente no me gusta la forma en la que explican el curso, aunque el profe si tiene razon, ven yo te lo explico como tu tio el que no sabe nada, pero opina:

El flujo es el siguiente: tu tienes tu app puede ser movil;desktop;web;iot etc... Desde ahi digamos que te da flojera usar un email y contraseña, entonces quieres usar los datos en este caso de tu spotify que ya tienes logueado previamente en tu pc... O bueno, te gusta mas esa app para loguearte porque siempre te sabes la contraseña (maybe). Bien, ahora viene lo chido, porque en tu app, cuando le das conectar con Spotify, lo que esta haciendo tu app es IR a un endpoint de espotify y decirle, buenas bro, tengo esta persona, en mi app que existe en tu db y quiere meterse en mi pagina, el se va a loguear y TU dame esos datos con un verificador y un id (cosas no privadas) entonces la persona acepta o declina lo que quiere, y spotify toma esa data la devuelve y cuando el frontend recibe el OK ahora llama a spotify con un callback ahora si a nuestro server, con esos datos NOSOTROS en back autenticamos y ahora si le devolvemos los datos que quiere al cliente. No estan asi asi pero es para que tengas una idea, antes de todo esto, previamente, nuestro servidor debe tener el uso de una cuenta en spotify para poder enlazar una app web con ellos. Ya lo demas es parafraseos. OJO el profe usa SSRendering con Nextjs por eso es que ves que ?que tiene que ver el back con el front? Es por eso... pero tu peudes hacerlo con cualquier cliente front.

No te frustres, repite una y otra vez, ademas explora y equivocate! GO AHEAD. 💚

Dany R

student•

Carlos Andrés Moreno Jimenez

student•

A los que tienen este error en la practica

se soluciona así:

porque: dentro del objeto de la cookie el token viene con clave "accesToken"

y a los que no tenían cuenta de Spotify y apenas la crearon para la practica les recomiendo colocar una imagen de su perfil y una breve descripción o si no agreguen un encadenamiento opcional dentro del Archivo Card.js

Francisco Martin Nacimiento

student•

El authorization gran hay que almacenarlo o una vez que se pide el token, el authorization gran ya deja de ser valido?

Por otro lado, en caso de que sea asi, si el token de acceso y refresco vencen, se hace todo el flujo nuevamente? Entiedo que mientras se tengan los tokens sin vencer, se puede seguir teniendo acceso sin la interversion del user (resource owner)

Alejandro Chavez

student•

¡ Genial clase !