Implementación de Recuperación de Contraseña en API con NotMailer

Clase 16 de 20 • Curso de Backend con Node.js: Autenticación con Passport.js y JWT

Contenido del curso

Introducción

Protección de contraseñas

Passport y JSON Web Tokens

Envío de emails con Node.js

Recuperación de contraseñas

Despliegue a producción

19
Deployment de Aplicaciones Node.js en Heroku con Autenticación y Migraciones
10:25 min

Próximos pasos

20
Autenticación y Autorización con GoodNove.js y JWT
01:21 min

Tomar examen

Resumen

Centralizar la lógica de autenticación y conectar el envío de correos dentro de una API es un paso fundamental para construir sistemas seguros y mantenibles. Aquí se explica cómo crear un auth service que encapsule la verificación de usuarios, la firma de tokens y el envío de correos de recuperación de contraseña usando Nodemailer.

¿Por qué crear un auth service para centralizar la autenticación?

Cuando la lógica de autenticación está dispersa entre routers, strategies y endpoints, el código se vuelve difícil de mantener. La solución es crear un archivo dedicado llamado auth.service.js que agrupe todas las responsabilidades relacionadas con autenticación [0:45].

Este servicio contiene tres métodos principales:

getUser: recibe email y password, busca al usuario y compara contraseñas con bcrypt.
signToken: genera un JWT firmado a partir del usuario autenticado.
sendMail: valida que el usuario exista y envía el correo de recuperación.

javascript const bcrypt = require('bcrypt'); const jwt = require('jsonwebtoken'); const nodemailer = require('nodemailer'); const { config } = require('../config/config');

class AuthService { constructor() { // se importa el servicio de usuarios }

async getUser(email, password) { const user = await this.userService.findByEmail(email); if (!user) { throw boom.unauthorized(); } const isMatch = await bcrypt.compare(password, user.password); if (!isMatch) { throw boom.unauthorized(); } delete user.password; return user; }

signToken(user) { const payload = { sub: user.id, role: user.role }; const token = jwt.sign(payload, config.jwtSecret); return { user, token }; } }

Al migrar esta lógica, el local strategy queda limpio: simplemente llama a authService.getUser(email, password) y retorna el resultado [2:18]. Los errores se lanzan con Boom, una librería que facilita respuestas HTTP estandarizadas usando throw boom.unauthorized().

¿Cómo se simplifica el login con este servicio?

En el router de autenticación, el endpoint de login ya no necesita contener la firma del token directamente. Solo se instancia el servicio y se llama a signToken [4:15]:

javascript const AuthService = require('../services/auth.service'); const service = new AuthService();

router.post('/login', passport.authenticate('local', { session: false }), (req, res) => { res.json(service.signToken(req.user)); } );

Como signToken es síncrono (no hay operaciones asíncronas), se puede resolver directamente sin await.

¿Cómo implementar el endpoint de recovery con Nodemailer?

Se crea una ruta POST /recovery que no requiere autenticación, ya que el usuario precisamente no puede ingresar [0:22]. Del cuerpo de la petición solo se extrae el email:

javascript router.post('/recovery', async (req, res) => { const { email } = req.body; const rta = await service.sendMail(email); res.json(rta); });

Dentro del método sendMail del auth service, se configura el transporter de Nodemailer y se realiza el envío [6:15]:

javascript async sendMail(email) { const user = await this.userService.findByEmail(email); if (!user) { throw boom.unauthorized(); } const transporter = nodemailer.createTransport({ host: 'smtp.gmail.com', port: 465, secure: true, auth: { user: 'tu_correo@gmail.com', pass: 'tu_password' } }); await transporter.sendMail({ from: 'tu_correo@gmail.com', to: user.email, subject: 'Recuperación de contraseña', html: '<b>Enlace de recuperación</b>' }); return { message: 'mail sent' }; }

¿Por qué validar el usuario antes de enviar el correo?

Antes de disparar el envío, se verifica que el email realmente exista en la base de datos [7:00]. Si no existe, se responde con un error genérico de no autorizado.

Esta práctica es crucial en seguridad: si respondieras "este correo no existe", un atacante podría realizar un ataque de fuerza bruta probando distintos correos hasta encontrar uno válido [8:50]. La respuesta correcta es siempre un mensaje genérico como unauthorized, sin dar contexto adicional.

¿Qué precauciones tomar con las credenciales del transporter?

Las credenciales de Gmail usadas en el transporter (usuario y contraseña) deben almacenarse como variables de entorno [10:05]. Dejarlas directamente en el código expone información sensible a cualquier persona con acceso al repositorio.

Usa un archivo .env para definir SMTP_USER y SMTP_PASS.
Accede a ellas mediante config o process.env.
Nunca subas credenciales al control de versiones.

Al probar en Insomnia con un email inexistente como xyz@gmail.com, el endpoint responde con error 401 [8:30]. Con un email válido registrado en la base de datos, el correo se envía correctamente y aparece en la bandeja de entrada del destinatario [9:30].

Con esta estructura, tienes un servicio reutilizable que separa responsabilidades y facilita agregar funcionalidades como la generación de un link de verificación para completar el flujo de recuperación de contraseña. ¿Ya tienes tus credenciales configuradas como variables de entorno?

Comentarios

Rodrigo Ramos Xochiteotzin

student•

Estoy así con este curso 🤯🤯🤯🤯

Arturo Mauricio Terceros Beltrán

student•

Es uno de los mejores cursos que vi. Muy util.

Miguel Giraldo Duque

student•

Comparto lo mismo ! tengo ansias de implementarlo 🦾

Juan Jiménez

student•

Debido a que hay mucha lógica regada sobre autenticación, se crea un nuevo servicio para auth y hacer esto más mantenible.

auth.service.js, el método getUser contiene la lógica para autenticar un usuario, signToken contiene la lógica para firmar un token y sendMail contiene la lógica para enviar un email con sus respectectivas variables de ambiente:

const boom = require('@hapi/boom');
const bcrypt = require('bcrypt');
const jwt = require('jsonwebtoken');
const nodemailer = require('nodemailer');

const { config } = require('../config/config');

const UserService = require('./user.service');
const service = new UserService();

class AuthService {
  async getUser(email, password) {
    const user = await service.findByEmail(email);
    if (!user) {
      throw boom.unauthorized();
    }

    const isMatch = await bcrypt.compare(password, user.password);
    if (!isMatch) {
      throw boom.unauthorized();
    }
    delete user.dataValues.password;
    return user;
  }

  signToken(user) {
    const payload = {
      sub: user.id,
      role: user.role,
    };
    const token = jwt.sign(payload, config.jwtSecret);
    return {
      user,
      token,
    };
  }

  async sendMail(email) {
    const user = await service.findByEmail(email);
    if (!user) {
      throw boom.unauthorized();
    }

    const transporter = nodemailer.createTransport({
      host: 'smtp.gmail.com',
      secure: true, // true for 465, false for other ports
      port: 465,
      auth: {
        user: config.mailerEmail,
        pass: config.mailerPassword,
      },
    });

    await transporter.sendMail({
      from: `"Foo Boo 👻" <${config.mailerEmail}>`, // sender address
      to: `${user.email}`, // list of receivers
      subject: 'Nuevo correo de prueba', // Subject line
      text: 'Estoy usando Nodemailer!', // plain text body
      html: '<b>Holaaaaaaaaaa!</b>', // html body
    });

    return { message: 'Mail sent' };
  }
}

module.exports = AuthService;

Se hacen las modificaciones pertinentes en los archivos auth.route.js y local.strategy.js donde se hace el uso del nuevo servicio.

auth.route.js, en el caso del endpoint /recovery, se obtiene el email del body, posteriormente se ejecuta el método sendMail que viene desde el servicio:

const express = require('express');
const passport = require('passport');
const AuthService = require('../../services/auth.service');

const router = express.Router();
const service = new AuthService();

router.post(
  '/login',
  passport.authenticate('local', { session: false }),
  async (req, res, next) => {
    try {
      const user = req.user;
      res.json(service.signToken(user));
    } catch (error) {
      next(error);
    }
  }
);

router.post('/recovery', async (req, res, next) => {
  try {
    const { email } = req.body;
    const rta = await service.sendMail(email);
    res.json(rta);
  } catch (error) {
    next(error);
  }
});

module.exports = router;

local.strategy.js, el método getUser contiene la lógica antes establecida en este archivo para autenticar un usuario:

const { Strategy } = require('passport-local');

const AuthService = require('../../../services/auth.service');
const service = new AuthService();

const LocalStrategy = new Strategy(
  {
    usernameField: 'email',
    passwordField: 'password',
  },
  async (email, password, done) => {
    try {
      const user = await service.getUser(email, password);
      done(null, user);
    } catch (error) {
      done(error, false);
    }
  }
);

module.exports = LocalStrategy;

Reinaldo Mendoza

student•

El curso esta muy bien explicado y haberlo dividido en 3 o4 partes fue una gran idea

Obed Paz

student•

Excelente introduccion al envio de correos con node, en mi trabajo hemos tenido bastantes inconvenientes con correos que llegan a spam, ya sea por la estructura del html, o el dominio es distintos del from al servicio que los envia, etc. Existen spam tester en linea que les ayudan a identificar las vulnerabilidades de sus correos 😉

Julian David Alzate Cuervo

student•

esta clase va a mil por hora jaja

Juanito Ortega Guzmán

student•

Solución RETO de correo y contraseña en variables de entorno: .env

# Agregamos estas 2 líneas
EMAIL_SENDER=tu-correo@gmail.com
EMAIL_PASSWORD=password

config.js

# Agregamos estas 2 líneas
emailSender: process.env.EMAIL_SENDER,
emailPassword: process.env.EMAIL_PASSWORD

Y finalmente en auth.service.js

# Modificamos esta parte
auth: {
     user: config.emailSender,
     pass: config.emailPassword
}

Saludos.

César Palma

student•

el host de email tambien debería estar como variable de entorno

Jhon Brichman Bellido Vargas

student•

Urgente el boton de like!!!!!!!!

Alexander Ortiz Alonso

student•

Alquien de la comunidad que me haga el favor y me colabore. En el correo de Gmail, ya no esta la opción de "App passwords", a pesar de que hice de todo no fue posible activar esta opción y por tal razón no pude avanzar con esta clase. A alguien le pasó este mismo problema. ¿Qué hacer en caso de no poder activar las contraseñas de aplicaciones?

Sebastian Carballo

student•

Buenas Compañero! Me encontré el mismo problema, buscando en la barra de búsqueda aparece la opción.

Maria Gabriela Rodriguez Cuevas

student•

🛹 Clase #16: Implementando el envío de emails 16/20 🛹

Pasos: 📝

Vamos a ++VSC++, luego a la carpeta services, creamos un archivo llamado auth.service.js, se implementará la lógica del getUser que contendrá la implementación de la instancia service de local.strategy.js, además de la lógica de signToken y de sendEmail, el código queda así:

//Importar boom para los errores:
const boom = require('@hapi/boom');
//Importar bcrypt para comparar la contraseña:
const bcrypt = require('bcrypt');
//Importar jwt para la firma:
const jwt = require('jsonwebtoken');
//Importar nodemailer para el envío del email:
const nodemailer = require('nodemailer');
//Importar config para obtener el secret
const { config } = require('./../config/config');
//Importar el servicio de los usuarios
const UserService = require('./user.service');
const service = new UserService();

class AuthService {
	//Obtener un usuario en base de un email y un password:
	async getUser(email, password) {
		const user = await service.findByEmail(email);
		if (!user) { //Lanzamos el error cuando no está autorizado el 				usuario:
			throw boom.unauthorized();
		}
		const isMatch = await bcrypt.compare(password, user.password);
		if (!isMatch) {
			throw boom.unauthorized();;
		}
		delete user.dataValues.password;
		//Se retorna el usaurio sin imprimir el password
		return user;
	}
	//Recibe el usuario que está autenticado:
	signToken(user) {
		const payload = {
			sub: user.id,
			role: user.role
		}
		const token = jwt.sign(payload, config.jwtSecret);
		return {
			user,
			token
		};
	}

	async sendMail(email) {
		//Comprobar si en verdad está en la base de datos:
		const user = await service.findByEmail(email);
		if (!user) {
			throw boom.unauthorized();
		}
		const transporter = nodemailer.createTransport({
			host: "smtp.gmail.com",
			secure: true, // true for 465, false for other ports
			port: 465,
			auth: {
				user: 'nicobytes.demo@gmail.com',
				pass: 'dmlikrjugujjlugl'
			}
		});
		await transporter.sendMail({
			from: 'nicobytes.demo@gmail.com', // sender address
			to: `${user.email}`, // list of receivers
			subject: "Este es un nuevo correo", // Subject line
			text: "Hola santi", // plain text body
			html: "<b>Hola santi</b>", // html body
		});
		//Retorna un mensaje:
		return { message: 'mail sent' };
	}
}

module.exports = AuthService;

Guardamos, vamos a la ruta utils/auth/strategies y abrimos el archivo local.strategy.js y editamos el código para implementar la llamada de service, el código queda:

//Nos treamos a passport-local
const { Strategy } = require('passport-local');

const AuthService = require('./../../../services/auth.service');
const service = new AuthService();

const LocalStrategy = new Strategy({
	usernameField: 'email',
	passwordField: 'password'
},
async (email, password, done) => {
	try {//sevice viene de authservice.js donde queda toda la lógica que teniamos antes
		const user = await service.getUser(email, password);
		done(null, user);
	} catch (error) {
		done(error, false);
	}
}
);

module.exports = LocalStrategy;

Guardamos, vamos a la carpeta routes, abrimos el archivo auth.router.js, vamos adaptar el router.post(/login ...), implementando las funciones de auth.service.js: signToken y sendEmail, también se implementa la lógica de router.post(/recovery …), el código queda:

const express = require('express');
const passport = require('passport');
//Importar a auth.service:
const AuthService = require('./../services/auth.service');

const router = express.Router();
//Crear la instancia de nuestro servicio
const service = new AuthService();

//Para recuperar
router.post('/login',
	passport.authenticate('local', {session: false}),
	async (req, res, next) => {
		try {
			const user = req.user;
			//Llamar a signToken (como es sincrono se puede resolver sin ningún await):
			res.json(service.signToken(user));
		} catch (error) {
			next(error);
		}
	}
);

//No tiene autenticación, solo pide el email del body para comprobarlo
router.post('/recovery',
	async (req, res, next) => {
		try {
			const { email } = req.body;
			//Llamar a sendMail (es asincrono):
			const rta = await service.sendMail(email);
			res.json(rta);
		} catch (error) {
			next(error);
		}
	}
);

module.exports = router;

Guardamos, es importante señalar que el correo y el password que están en auth.service.js debe estar registrado en la base de datos. Si no se ha corrido el sistema, ejecutar en la terminal: npm run dev y esperar a que salga My port 3000

Ir a ++Insomnia++, dentro de la carpeta Auth se crea la petición POST recovery, con la dirección: {{ _.API_URL }}/api/v1/auth/recovery, en el body se coloca JSON y se coloca un correo:

{
	"email": "nicobytes.demo@gmail.com"
}

Si el correo no está registrado en la base de datos, sale un código 401 Unauthorized:

{
	"statusCode": 401,
	"error": "Unauthorized",
	"message": "Unauthorized"
}

Si se verifica que si se encuentra registrado sale el código 200 OK:

{
	"message": "mail sent"
}

Podemos revisar la bandeja de entrada y debe estar el correo que configuramos.

Maria Gabriela Rodriguez Cuevas

student•

⚔ Reto de la clase: ⚔

Se quiere sustituir los datos del email y password de auth.service.js, así que se usarán variables de entorno.
Vamos a ++VSC++ y abrimos el archivo .env, se agregan las 2 nuevas variables:

EMAIL_RECOVERY='nicobytes.demo@gmail.com'
EMAIL_RECOVERY_PASSWORD='dmlikrjugujjlugl'

Guardamos, vamos a la carpeta config y abrimos el archivo config.js y agregamos después jwtSecret:

emailRecovery: process.env.EMAIL_RECOVERY,
emailRecoveryPassword: process.env.EMAIL_RECOVERY_PASSWORD

Guardamos, vamos a la carpeta services y abrimos el archivo auth.service.js y dentro de transporter editamos el user y pass:

user: config.emailRecovery,
pass: config.emailRecoveryPassword

También dentro de sendEmail el from:

from: config.emailRecovery,

Guardamos, vamos a la terminal y obligatoriamente hay que correr de nuevo por las variables de entorno: npm run dev y esperar a My port 3000

Abrimos ++Insomnia++, en la carpeta Auth, en Post recovery, en el body JSON, colocamos el email que guardamos en .env y damos al botón ++Send++, debe salir el código 200 OK:

{
	"message": "mail sent"
}

Podemos revisar la bandeja de entrada y debe estar el correo que configuramos.

Axcel Javier Rincón Gomez

student•

Cómo realizar pruebas y ajustes finales?

Finalmente, es importante verificar que el endpoint es funcional mediante pruebas en la aplicación, por ejemplo, usando herramientas como Insomnia o Postman. Al realizar estos ensayos, asegúrate de:

Probar con emails válidos y no válidos.
Revisar que el sistema no revele información innecesaria que un atacante podría usar maliciosamente.

La configuración y variables sensibles, como el usuario y la contraseña del email, deben almacenarse como variables de entorno para evitar cualquier filtración de información. Esta práctica es esencial para mantener la seguridad y privacidad de tus datos y los de tus usuarios.

Conclusiones y próximos pasos

Implementar una ruta de recuperación de contraseña no solo mejora la experiencia del usuario, sino también refuerza la seguridad de tu aplicación. Asegúrate de seguir desarrollando y mejorando tus servicios para ofrecer funcionalidades robustas y seguras. ¡El viaje del aprendizaje continuo en programación siempre tiene nuevos y emocionantes horizontes por descubrir!

Juan Jose Juarez Cuevas

student•

hola buen día al hacer envío de correo con Gmail de forma local si funciona el envío pero cuando lo subo a mi host no funciona el envío de correo

Miguel Giraldo Duque

student•

Podrías pasarnos tu código? asi te podría ayudar mas!

Ytalo Ramiro

student•

quisiera saber como un usuario pueda cambiar o recuperar su contraseña mediante email y que no importe si esta en session o no (como la base de datos sabe quien es el usuario)

Kevin Palma

student•

Hola que tal no he visto el curso, pero en otra ocacion vi como usaban un token temporal, en el cual programabas que este tuviese vida solo por ejemplo 30 minutos y recibias este por medio de un formulario y si el coincidia te aceptaba el cambio de contraseña..! si al hacer el curso logro implementarlo puedo apoyarte pero la idea te la dejo por el momento..!

Rodrigo Ramos Xochiteotzin

student•

Se me ocurre que en las vistas de login/signin haya un link de "olvidaste tu constraseña?" y que el direccionamiento esté escrito en el server. Esta ruta hipotética debería recibir el mail del usuario y manejar el servicio de recovery

Carlos Romero

student•

Muy bueno este curso, he aprendido muchas cosas nuevas!

YOVANY ALVAREZ CORREA

student•

donde veo los recursos de la clase

Implementación de Recuperación de Contraseña en API con NotMailer

Introducción

Autentificación y Autorización en Node.js con JSON Web Tokens

Autenticación vs. autorización

Autenticación y Autorización en Node.js para eCommerce

Protección de contraseñas

Creación de Middleware para Autenticación con API Key

Hashing de Contraseñas con BYNCrip: Seguridad y Verificación

Implementación de Hashing en Endpoints de Usuario y Cliente

Passport y JSON Web Tokens

Implementación de Autenticación con Passport.js y Estrategia Local

Autenticación con JSON Web Tokens: Creación y Verificación

Firma y Verificación de JSON Web Tokens con JavaScript

Generación y Firma de Tokens JWT en APIs Backend

Protección de Rutas con JWT y Passport en Node.js

Gestión de Roles y Permisos en API Restful

Consulta de Órdenes de Compra Usando Token de Sesión en Node.js

Gestión de Autenticación y Autorización en Aplicaciones Web

Envío de emails con Node.js

Envío de Correos con NodeMailer y Configuración SMTP en Node.js