Cambio Seguro de Contraseña con Token y Expiración

Clase 18 de 20 • Curso de Backend con Node.js: Autenticación con Passport.js y JWT

Contenido del curso

Introducción

Protección de contraseñas

Passport y JSON Web Tokens

Envío de emails con Node.js

Recuperación de contraseñas

Despliegue a producción

19
Deployment de Aplicaciones Node.js en Heroku con Autenticación y Migraciones
10:25 min

Próximos pasos

20
Autenticación y Autorización con GoodNove.js y JWT
01:21 min

Tomar examen

Resumen

Implementar un flujo completo de password recovery requiere más que enviar un correo: necesitas verificar tokens, comparar registros en base de datos, hashear contraseñas y limpiar credenciales temporales. Aquí se detalla paso a paso cómo construir el endpoint que cierra el ciclo de recuperación de contraseña de forma segura.

¿Cómo funciona el flujo completo de recuperación de contraseña?

El proceso comienza cuando el usuario ingresa su email en la interfaz de password recovery y se dispara el endpoint previamente construido [0:06]. El sistema valida que el correo exista en la base de datos, genera un token con expiración de quince minutos y lo envía por email. El front end muestra un mensaje confirmando el envío.

El correo contiene un enlace con la URL del front end que incluye una ruta especial como /recovery y el token como parámetro [0:37]. Cuando el usuario hace clic, llega a un formulario donde el front end lee el token de la URL y solicita la nueva contraseña. Al confirmar, se envían el token y la nueva contraseña al backend para su validación.

¿Cómo se construye el endpoint de cambio de contraseña?

En el auth router se crea una nueva ruta llamada change password que recibe por POST el token y el new_password en el body [1:17]. Es importante agregar una capa de validación de datos mediante un schema de Joi que verifique requisitos como longitud mínima, máxima y formato alfanumérico.

¿Qué validaciones se realizan en el servicio?

El método changePassword en el servicio ejecuta varias verificaciones envueltas en un bloque try-catch. Si algo falla, se lanza un error de tipo Boom unauthorized [2:23].

Verificación del token JWT: se usa jwt.verify() enviando el token y el secret con el que fue firmado. Si es válido, retorna el payload que contiene el identificador del usuario [2:40].
Búsqueda del usuario: con el ID extraído del payload (almacenado en el campo sub, que representa al subscriber o sujeto del token), se utiliza el método findOne para localizar al usuario. Si no existe, retorna un error automáticamente [3:15].
Doble verificación del token: se compara el token recibido con el recoveryToken almacenado en la base de datos. Si no coinciden, se rechaza la solicitud [3:42]. Este doble check previene la reutilización de tokens y garantiza que solo el token asignado en ese momento sea válido.

¿Cómo se hashea y actualiza la nueva contraseña?

Una vez superadas todas las validaciones, se genera un hash de la nueva contraseña usando bcrypt.hash() con el número de saltos configurado [4:45]. Luego se reutiliza el método update existente para asignar dos cambios al usuario:

El campo recoveryToken se establece en nulo, eliminando el token temporal.
El campo password se actualiza con el hash generado.

Finalmente, se retorna un mensaje indicando que la contraseña fue cambiada exitosamente [5:22].

¿Cómo se prueban los diferentes escenarios de seguridad?

Las pruebas en Insomnia demuestran la robustez del flujo con varios escenarios [5:35]:

Token expirado: al dejar pasar más de quince minutos, el sistema retorna unauthorized porque el token ya no es válido [6:22].
Token válido pero diferente: usar un token de acceso del login, aunque esté firmado con el mismo secret, también falla porque no coincide con el recoveryToken almacenado en base de datos [6:40].
Token corrupto: modificar incluso un carácter del token provoca rechazo inmediato [7:40].
Token válido dentro del rango: con un token recién generado y sin modificar, el cambio de contraseña se ejecuta correctamente [7:52].

Después del cambio, el login con la contraseña antigua falla y solo funciona con la nueva [8:05]. Además, el recoveryToken queda en nulo, impidiendo que alguien reutilice el mismo token para cambiar la contraseña nuevamente [8:20].

Este flujo integra el envío de correos con SMTP de Gmail, la asignación de tokens temporales con JWT y el hashing con bcrypt para lograr un proceso de recuperación de contraseña verdaderamente seguro. ¿Has implementado alguna validación adicional en tus proyectos? Comparte tu experiencia en los comentarios.

Comentarios

Miguel Ángel Baquero Tello

student•

Hola de nuevo. También les quiero dejar mi aporte de cómo elaboré mis validaciones para los nuevos endpoints con los routes de login, recovery y change-password. Primero, creé un nuevo archivo dentro de los schemas llamado ++auth.schema.js++ con el siguiente contenido:

const Joi = require('joi');

const email = Joi.string().email(),
  password = Joi.string().min(8),
  newPassword = Joi.string().min(8),
  token = Joi.string().regex(
    /^[A-Za-z0-9-_]+\.[A-Za-z0-9-_]+\.[A-Za-z0-9-_.+/=]*$/
  );

const loginAuthSchema = Joi.object({
  email: email.required(),
  password: password.required(),
});

const recoveryAuthSchema = Joi.object({
  email: email.required(),
});

const changePasswordAuthSchema = Joi.object({
  token: token.required(),
  newPassword: newPassword.required(),
});

module.exports = {
  loginAuthSchema,
  recoveryAuthSchema,
  changePasswordAuthSchema,
};

Finalmente, importé el middleware de validatorHandler y el schema creado anteriormente dentro de ++auth.router++:

const express = require('express'),
  passport = require('passport'),
  AuthService = require('./../services/auth.service'),
  service = new AuthService(),
  router = express.Router(),
  validatorHandler = require('../middlewares/validator.handler'),
  {
    loginAuthSchema,
    recoveryAuthSchema,
    changePasswordAuthSchema,
  } = require('../schemas/auth.schema');

router.post(
  '/login',
  validatorHandler(loginAuthSchema, 'body'),
  passport.authenticate('local', { session: false }),
  async (req, res, next) => {
    try {
      const user = req.user;
      res.json(service.signToken(user));
    } catch (error) {
      next(error);
    }
  }
);

router.post(
  '/recovery',
  validatorHandler(recoveryAuthSchema, 'body'),
  async (req, res, next) => {
    try {
      const { email } = req.body;
      const rta = await service.sendRecovery(email);
      res.json(rta);
    } catch (error) {
      next(error);
    }
  }
);

router.post(
  '/change-password',
  validatorHandler(changePasswordAuthSchema, 'body'),
  async (req, res, next) => {
    try {
      const { token, newPassword } = req.body;
      const rta = await service.changePassword(token, newPassword);
      res.json(rta);
    } catch (error) {
      next(error);
    }
  }
);

module.exports = router;

En una corta búsqueda que realicé en internet, encontré un método que utiliza regex para la validación del token. Sin embargo, esto no queire decir que sea su única forma de validación, lo pueden alterar a su gusto y conveniencia, al igual que añadir más reglas de validación para el password.

Una vez más, espero haya sido de utilidad para todos.

Saludos.

Miguel Giraldo Duque

student•

Me gusto tu idea🤔 gracias!

Miguel Ángel Baquero Tello

student•

Hola gente. En caso de que no deseen revelar el ++recoveryToken++ en el momento de hacer ++login++, simplemente deben añadir una línea de código dentro del método ++getUser++ en ++auth.service++:

async getUser(email, password) {
  const user = await service.findByEmail(email);
  if (!user) {
    throw boom.unauthorized();
  } else {
    const isMatch = await bcrypt.compare(password, user.password);
    if (!isMatch) {
      throw boom.unauthorized();
    } else {
      delete user.dataValues.password;
      delete user.dataValues.recoveryToken; // esta es la linea de codigo que se debe agregar
      return user;
    }
  }
}

Espero les sea de utilidad.

Saludos.

Juan Jiménez

student•

El email enviado al usuario para recuperar contraseña contiene un link para ello, al dar click en el link nos debe enviar a una vista para la recuperación de la contraseña y al dar click en Confirm, debemos recibir el token y la nueva contraseña. Por lo tanto, se debe hacer el proceso de validación del token (válido y sin expirar), si existe el usuario, etc.

En el auth.router.js se crea un nuevo endpoint /change-password para cambiar el password. Este endpoint va a obtener el token y la nueva contraseña del body, y ejecuta el método changePassword para validar que el token y la nueva contraseña sean correctos.

router.post('/change-password', async (req, res, next) => {
  try {
    const { token, newPassword } = req.body;
    const rta = await service.changePassword(token, newPassword);
    res.json(rta);
  } catch (error) {
    next(error);
  }
});

El método changePassword recibe el token y la nueva contraseña, primero se hace una validación donde se verifica el token, esto retorna el payload que tiene ese token. Del payload se obtiene el user (payload.sub) y lo busca en la BD con el método findOne.

Del usuario encontrado, se verifica que el campo recoveryToken sea el que está en la BD.

Posteriormente, para actualizar la contraseña se necesita borrar el token y hashear la nueva contraseña (service.update).

async changePassword(token, newPassword) {
    try {
      const payload = await jwt.verify(token, config.jwtRecoverySecret);
      const user = await service.findOne(payload.sub);

      if (user.recoveryToken !== token) {
        throw boom.unauthorized();
      }

      const hash = await bcrypt.hash(newPassword, 10);
      await service.update(user.id, { recoveryToken: null, password: hash });
      return { message: 'Password changed' };
    } catch (error) {
      throw boom.unauthorized();
    }
  }

Obed Paz

student•

Como buena practica evitemos atrapar errores en los proveedores o servicios, podemos lanzarlos desde los servicios, y debido a que ese service esta siendo llamado desde el controller dentro de un try, pues que el controller o router se encargue de atraparlos y mostrarlos.

router.post('/change-password',
  async (req, res, next) => {
    try {
      const { token, newPassword } = req.body;
      const mailInfo = await authService.changePassword(token, newPassword);
      res.json(mailInfo);
    } catch (error) {
      next(error);
    }
  }
)

  async changePassword(token, newPassword) {
    const payload = jwt.verify(token, process.env.JWT_SECRET);

    const user = await userService.findOne(payload.sub); // id

    if (!user || user.recoveryToken !== token) {
      throw boom.unauthorized();
    }

    const hash = bcrypt.hash(newPassword, 10);
    await userService.update(user.id, { recoveryToken: null, password: hash });
    return { message: 'Password updated' }
  }

Andrés Muñoz

student•

También se puede crear desde el back una ruta que envíe html al client con un formulario para cambiar la contraseña

router.get('/recover/form',
  validUserRecoveryToken,
  passport.authenticate('jwt', {session: false}),
  async (req, res, next) => {
    try {
      const user = req.user;
      const {token} = this.generateUserToken(user);
      await userService.update(user.id, {recoveryToken: token});

        const newPasswordForm =`
          <h2>Recover Password</h2>
          <form action="/api/v1/auth/recover/end?token=${token}" method="post">
            <div>
              <label for="newPassword">New Password:</label>
              <input type="password" id="newPassword" name="newPassword" />
            </div>
            <div>
              <label for="passwordConfirm">Repeat Password</label>
              <input type="password" id="passwordConfirm" name="passwordConfirm" />
            </div>
            <input type="submit" value="Submit" />
          </form>
        `
      res.send(newPasswordForm)
    } catch (error) {
      next(error);
    }
  }
);

Carl Lewis Castillo

student•

Saludos. En que curso se hace el Front de los cursos de back?

Sebastian Carballo

student•

Curso Practico de Frontend Developer https://platzi.com/cursos/frontend-developer-practico/

Oscar Adrián Martínez Cavazos

student•

Hola buen día a todos devs!!, tengo una duda en el endpoint de auth, ¿el login no sería más bien un get ya que esta pidiendo un token? ¿existe alguna manera de analizar y declarar si sera un post o un get como en estos casos?. . . Gracias a todos los que se tomaron la molestia de leer mis dudas!!

Kevin Fiorentino

student•

Un login siempre es recomendable realizarlo por POST ya que si tienes la necesidad de enviar el usuario y la contraseña en el Body de la petición, el POST lo hará de forma cifrada y segura.

Luis Fernando Morla Mora

student•

estoy con una duda similar ya que en el curso de next hace de nuevo una peticion a otro token... y me quede confuso por que no sé que tiene de especial ese endpoint... alguien sabe como uno debe crear el endpoint que le piden en el curso professional de next.js? y que es lo que uno debe devolver y por que debe hacerlo desde ese endpoint? Captura de pantalla 2022-08-14 032013.jpg

Jorge Zerpa

student•

para manejar las contraseñas se puede crear una tabla aparte en la base de datos, es decir, en vez de guardarla directamente en "users", se crea una tabla "auth" donde iría el password y el id del usuario correspondiente. Es un poco más complicado de manejar, pero de esta forma no tendríamos que estar tan al pendiente de no mandar info delicada cuando se manda información del usuario. pd: este curso esta INCREÍBLE :) <3

Tomás André Peñaloza Avilés

student•

Token Expired

Les comento que yo quise implementar un mensaje explícito de error por si el token había expirado. Encontré en la documentación que el método .verify() puede recibir un callback cuyo primer argumento es un error, este error tiene la forma:

      err = {
        name: 'TokenExpiredError',
        message: 'jwt expired',
        expiredAt: 1408621000
      }

Así que implementé esta lógica:

  async changePassword(token, newPassword) {
    const payload = jwt.verify(token, config.jwtSecret, (err, decoded) => {
      if (err) {
        throw boom.notAcceptable(err.name);
      }
      return decoded;
    }); //como saber si el token expiró?
    const user = await userService.findOne(payload.sub);
    if (token !== user.recoveryToken) {
      throw boom.notAcceptable("Sorry, valid but not the same token");
    }

    await userService.update(user.id, {
      recoveryToken: null,
      password: newPassword
    });
    return { message: "password changed successfully" };
  }

P.D: Sugiero que no se use Try -Catch en el servicio para que boom sí pueda lanzar errores donde se lo indicamos y los errores mayores los recoge el router que sí implementa Try - Catch.

Jose Alvarado

student•

Buena implementación solo creo que falto encriptar la newPassword

 const hash = await bcrypt.hash(newPassword, 10);
 await service.update(user.id, { recoveryToken: null, password: hash });

Diego Galeano Madrigal

student•

Hola! excelente curso y ya que se llega casi al final alguien me puede guiar en como seria la implmentacion de este back con el front?... Gracias

Juan Camilo Alvarez Muñoz

student•

para no mostrar el recoveryToken lo hice de la siguiente manera

  async getUser(email,password) {
    const user = await service.findByEmail(email);
    if(!user) {
      throw boom.unauthorized();
    }
    const isMatch = await bcrypt.compare(password, user.password);
    if(!isMatch){
      throw boom.unauthorized();
    }
    return { ...user.dataValues, password: undefined, recoveryToken: undefined};
  }

Julio Bastidas

student•

en que curso explican el frontend ya integrado con el backend? pregunto porque yo hice algunos de frontend pero solo era HTML, CSS y javascript y no hacian peticiones hacia el backend

Alirio Isea

student•

Ese frontend se realizo en el curso de React con Vite.js y TailwindCSS de Estefany https://platzi.com/cursos/react-vite-tailwindcss/

Rodrigo Ramos Xochiteotzin

student•

Tengo un problema con el recovery route porque cuando hago la petición POST me aparece "error: connection timeout" ¿alguna idea de qué pueda estar pasando?

Rodrigo Ramos Xochiteotzin

student•

Resuelto!

El problema era que en la función sendMail, al definir el transporter no actualicé el host de ethereal a gmail

Alvaro Alva

student•

Cual es el curso de front-end que complementa este curso de backend?

Cesar Pesantez Carrión

student•

Si alguien pudiera poner, como hacer la parte del frontEnd, con vueJS, fuera genial, estoy buscando y no tengo ni idea, me ayudan xfavor

Irwing Khalisser Naranjo Brito

student•

¿Porqué en algunas funciones usas el try/catch y en otras no?

Fernando Campos

student•

Hola 👋🏼 El try/catch se usa para lidiar con posibles errores. En funciones donde sabes que no hay nada inesperado que pueda pasar no es necesario usarlo si sabes que no hay forma de que suceda un error.

Luis Fernando Morla Mora

student•

alguien sabe como uno debe crear el endpoint que le piden en el curso professional de next.js? y que es lo que uno debe devolver y por que debe hacerlo desde ese endpoint?

Luis Fernando Morla Mora

student•

Se me ocurrió en que se podría hacer un hash de los tokens para así darle una capa de seguridad al token, pero... esto realmente es posible? como por ejemplo con bcrypt? seguiria funcionando?

Miguel Giraldo Duque

student•

Cuando generas el token de recuperación y te llega al correo, podrías copiar ese token de recuperación y usarlo para acceder a cualquier endpoint, ya que al estar firmado con el mismo secreto que el access token sería valido

Miguel Giraldo Duque

student•

Bueno por algún motivo no me dejo responder la pregunta de Luis la cual es:

Se me ocurrió en que se podría hacer un hash de los tokens para así darle una capa de seguridad al token, pero... esto realmente es posible? como por ejemplo con bcrypt? seguiria funcionando?

Esta es mi respuesta:

Hola Luis👋

Me dejaste pensando y busque poco .

Sabemos que JWT firma el token no lo encripta , cual es la diferencia? , que cuando firmas el token el payload es accesible y cuando lo encriptas ya no lo es , entiendo la intención de usar bycript pero ten en cuenta que bycript no encripta como tal hace un proceso de hash unidireccional que impediría revertir el estado original del token, un método para lograr la encriptación es de la propia librería jose aquí te dejo un código de ejemplo

Espero te sirva💚

const Joi = require('joi');

const email = Joi.string().email(),
  password = Joi.string().min(8),
  newPassword = Joi.string().min(8),
  token = Joi.string().regex(
    /^[A-Za-z0-9-_]+\.[A-Za-z0-9-_]+\.[A-Za-z0-9-_.+/=]*$/
  );

const loginAuthSchema = Joi.object({
  email: email.required(),
  password: password.required(),
});

const recoveryAuthSchema = Joi.object({
  email: email.required(),
});

const changePasswordAuthSchema = Joi.object({
  token: token.required(),
  newPassword: newPassword.required(),
});

module.exports = {
  loginAuthSchema,
  recoveryAuthSchema,
  changePasswordAuthSchema,
};

const express = require('express'),
  passport = require('passport'),
  AuthService = require('./../services/auth.service'),
  service = new AuthService(),
  router = express.Router(),
  validatorHandler = require('../middlewares/validator.handler'),
  {
    loginAuthSchema,
    recoveryAuthSchema,
    changePasswordAuthSchema,
  } = require('../schemas/auth.schema');

router.post(
  '/login',
  validatorHandler(loginAuthSchema, 'body'),
  passport.authenticate('local', { session: false }),
  async (req, res, next) => {
    try {
      const user = req.user;
      res.json(service.signToken(user));
    } catch (error) {
      next(error);
    }
  }
);

router.post(
  '/recovery',
  validatorHandler(recoveryAuthSchema, 'body'),
  async (req, res, next) => {
    try {
      const { email } = req.body;
      const rta = await service.sendRecovery(email);
      res.json(rta);
    } catch (error) {
      next(error);
    }
  }
);

router.post(
  '/change-password',
  validatorHandler(changePasswordAuthSchema, 'body'),
  async (req, res, next) => {
    try {
      const { token, newPassword } = req.body;
      const rta = await service.changePassword(token, newPassword);
      res.json(rta);
    } catch (error) {
      next(error);
    }
  }
);

module.exports = router;

async getUser(email, password) {
  const user = await service.findByEmail(email);
  if (!user) {
    throw boom.unauthorized();
  } else {
    const isMatch = await bcrypt.compare(password, user.password);
    if (!isMatch) {
      throw boom.unauthorized();
    } else {
      delete user.dataValues.password;
      delete user.dataValues.recoveryToken; // esta es la linea de codigo que se debe agregar
      return user;
    }
  }
}

router.post('/change-password', async (req, res, next) => {
  try {
    const { token, newPassword } = req.body;
    const rta = await service.changePassword(token, newPassword);
    res.json(rta);
  } catch (error) {
    next(error);
  }
});

async changePassword(token, newPassword) {
    try {
      const payload = await jwt.verify(token, config.jwtRecoverySecret);
      const user = await service.findOne(payload.sub);

      if (user.recoveryToken !== token) {
        throw boom.unauthorized();
      }

      const hash = await bcrypt.hash(newPassword, 10);
      await service.update(user.id, { recoveryToken: null, password: hash });
      return { message: 'Password changed' };
    } catch (error) {
      throw boom.unauthorized();
    }
  }

router.post('/change-password',
  async (req, res, next) => {
    try {
      const { token, newPassword } = req.body;
      const mailInfo = await authService.changePassword(token, newPassword);
      res.json(mailInfo);
    } catch (error) {
      next(error);
    }
  }
)

  async changePassword(token, newPassword) {
    const payload = jwt.verify(token, process.env.JWT_SECRET);

    const user = await userService.findOne(payload.sub); // id

    if (!user || user.recoveryToken !== token) {
      throw boom.unauthorized();
    }

    const hash = bcrypt.hash(newPassword, 10);
    await userService.update(user.id, { recoveryToken: null, password: hash });
    return { message: 'Password updated' }
  }

router.get('/recover/form',
  validUserRecoveryToken,
  passport.authenticate('jwt', {session: false}),
  async (req, res, next) => {
    try {
      const user = req.user;
      const {token} = this.generateUserToken(user);
      await userService.update(user.id, {recoveryToken: token});

        const newPasswordForm =`
          <h2>Recover Password</h2>
          <form action="/api/v1/auth/recover/end?token=${token}" method="post">
            <div>
              <label for="newPassword">New Password:</label>
              <input type="password" id="newPassword" name="newPassword" />
            </div>
            <div>
              <label for="passwordConfirm">Repeat Password</label>
              <input type="password" id="passwordConfirm" name="passwordConfirm" />
            </div>
            <input type="submit" value="Submit" />
          </form>
        `
      res.send(newPasswordForm)
    } catch (error) {
      next(error);
    }
  }
);

  async changePassword(token, newPassword) {
    const payload = jwt.verify(token, config.jwtSecret, (err, decoded) => {
      if (err) {
        throw boom.notAcceptable(err.name);
      }
      return decoded;
    }); //como saber si el token expiró?
    const user = await userService.findOne(payload.sub);
    if (token !== user.recoveryToken) {
      throw boom.notAcceptable("Sorry, valid but not the same token");
    }

    await userService.update(user.id, {
      recoveryToken: null,
      password: newPassword
    });
    return { message: "password changed successfully" };
  }

  async getUser(email,password) {
    const user = await service.findByEmail(email);
    if(!user) {
      throw boom.unauthorized();
    }
    const isMatch = await bcrypt.compare(password, user.password);
    if(!isMatch){
      throw boom.unauthorized();
    }
    return { ...user.dataValues, password: undefined, recoveryToken: undefined};
  }

Cambio Seguro de Contraseña con Token y Expiración

Introducción

Autentificación y Autorización en Node.js con JSON Web Tokens

Autenticación vs. autorización

Autenticación y Autorización en Node.js para eCommerce

Protección de contraseñas

Creación de Middleware para Autenticación con API Key

Hashing de Contraseñas con BYNCrip: Seguridad y Verificación

Implementación de Hashing en Endpoints de Usuario y Cliente

Passport y JSON Web Tokens

Implementación de Autenticación con Passport.js y Estrategia Local

Autenticación con JSON Web Tokens: Creación y Verificación

Firma y Verificación de JSON Web Tokens con JavaScript

Generación y Firma de Tokens JWT en APIs Backend

Protección de Rutas con JWT y Passport en Node.js

Gestión de Roles y Permisos en API Restful

Consulta de Órdenes de Compra Usando Token de Sesión en Node.js

Gestión de Autenticación y Autorización en Aplicaciones Web

Envío de emails con Node.js

Envío de Correos con NodeMailer y Configuración SMTP en Node.js

Implementación de Recuperación de Contraseña en API con NotMailer

Recuperación de contraseñas

Generación Segura de Links para Recuperación de Contraseña