Separa la autenticación del controlador PHP

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Introducción

Bases de un Framework

Refactorización

Acciones restantes

Estructura correcta de archivos

Seguridad

Flujo completo del sistema

Tomar examen

Separa la autenticación del controlador PHP

Resumen

Cuando trabajas con controladores en PHP, lo más sano es que cada pieza haga una sola cosa. Aislar la lógica de autenticación en una clase dedicada te permite mantener el controlador enfocado en orquestar y redirigir, mientras la validación y el manejo de sesiones viven en su propio espacio. Esto se traduce en código más limpio, mantenible y profesional.

Por qué separar la lógica de autenticación del controlador

Un controlador no debería cargar con la responsabilidad de validar credenciales, gestionar sesiones y además decidir a dónde redirigir al usuario. Cuando todo eso convive en el mismo archivo, cualquier cambio se vuelve riesgoso y el código pierde claridad.

La idea es sencilla: el controlador valida la entrada, llama a la clase de autenticación y, según el resultado, redirige o muestra una vista con errores. Nada más.

¿Qué hace exactamente un controlador en este patrón? Orquesta el flujo y decide la redirección. Recibe la petición, delega la validación y la lógica de negocio a clases especializadas, y devuelve la respuesta correspondiente.

Cómo crear la clase SistemaDeAutenticacion en PHP

El primer paso es generar un archivo nuevo con la clase que centralizará el inicio y cierre de sesión. En lugar de colocarla dentro de middleware, conviene ubicarla directamente en el namespace framework, porque su rol es transversal al sistema [01:00].

Dentro de esta clase vas a mover toda la lógica que antes vivía en el controlador, pero con un cambio importante: trabajar por parámetros explícitos en lugar de recibir el request completo.

Cómo definir el método de inicio de sesión

El método recibe dos strings, email y password, y retorna un boolean. Su única responsabilidad es responder verdadero o falso ante la pregunta: ¿estas credenciales son válidas?

Consulta al usuario por su email.
Verifica que la contraseña coincida con la almacenada.
Retorna true si todo se cumple, false en caso contrario.

No valida formato, no redirige, no muestra vistas. Esa restricción es justo lo que le da fuerza al diseño.

Cómo definir el método de cierre de sesión

El cierre de sesión sigue el mismo principio: una sola tarea bien hecha. Mueves la lógica original del controlador al nuevo método dentro de SistemaDeAutenticacion y dejas que el controlador se limite a invocarlo [02:15].

Cómo queda el controlador después de refactorizar

El controlador ahora se lee como una receta corta. Primero ejecuta las validaciones de entrada, luego instancia la clase de autenticación y, según la respuesta booleana, decide el siguiente paso.

Para el inicio de sesión, el flujo queda así: creas una nueva instancia con new SistemaDeAutenticacion(), llamas al método de inicio de sesión pasándole los datos, y si retorna true, usas el helper de redirección hacia el inicio. Si retorna false, muestras la vista con los errores.

Para el cierre de sesión la lógica es idéntica en estructura: instancias la clase, llamas al método correspondiente y rediriges. Validar, ejecutar, redirigir: ese es el ritmo.

¿Qué ventaja real aporta separar responsabilidades aquí? Tu controlador pasa de tener decenas de líneas mezcladas a unas pocas instrucciones claras. Si mañana cambias cómo se valida una contraseña, solo tocas la clase de autenticación, no el controlador.

Qué conceptos de programación profesional aplicas con este cambio

Esta refactorización pone en práctica varios principios que vas a encontrar en cualquier proyecto serio de PHP.

Separación de responsabilidades: cada clase tiene un propósito único y bien definido [03:30].
Uso de namespace: organizar la clase dentro de framework la hace localizable y reutilizable.
Tipado estricto de parámetros y retornos: declarar string en la entrada y bool en la salida elimina ambigüedad.
Inyección puntual mediante new: el controlador instancia lo que necesita en el momento exacto.
Uso de helpers de redirección: centralizas el cómo se redirige, no lo repites en cada controlador.

Después de aplicar estos cambios, la prueba es directa: entras a la vista de inicio de sesión, ingresas usuario y contraseña, y el sistema responde igual que antes. La diferencia es que ahora la lógica vive donde debe vivir.

¿Has aplicado este tipo de separación en tus proyectos PHP? Cuéntame en los comentarios cómo organizas tus clases de autenticación.

Comentarios

Bryan Castano

Estudiante

Class Authenticate in ./frmwrk;

<?php

namespace frmwrk;
use frmwrk\db;

class Authenticate {

    public static function isAuthenticated(): bool {
        session_start();
        return isset($_SESSION['user_id']);
    }

    public static function requireAuth(): void {
        if (!self::isAuthenticated()) {
            header('Location: /login');
            exit;
        }
    }

    public function login( string $email, string $password): bool  {

        $db = new db();

        $user = $db->query("SELECT * FROM users WHERE email = :email", [
                'email' => $email,
            ])->first();

            if ($user && password_verify($_POST['password'], $user['password'])) {
                // If authentication is successful, set user session and redirect
                $_SESSION['user'] = [
                    'uid' => $user['uid'],
                    'name' => $user['name'],
                    'email' => $user['email'],
                    'password' => $user['password'],
                ];
                
                return true;
            }

            return false;
    }

    public function logout() {
        // Logic for logging out the user
        unset($_SESSION['user']);
        session_destroy();
        
    }

}

AuthController in ./app/Controllers;

<?php 

namespace app\Controllers;
use frmwrk\Authenticate;
use frmwrk\db;
use frmwrk\validator;


class AuthController {
    public function login() {
        // Logic for displaying the login form
        view('login');
    }


    public function authenticate()  {

        $validator = new validator($_POST, [
            'email'=> 'required|email',
            'password'=> 'required|min:6',
        ]);
        if ($validator->fails()) {
            $errors = $validator->errors();
            // Handle validation errors (e.g., redirect back with errors)
            view('login', ['errors' => $errors]);
            return;
        }
        $db = new db();
        if ( $validator->wentThrough()) {


            $login = ( new Authenticate())->login(
                $_POST['email'], $_POST['password']
            );

            if ($login) {
                // Authentication successful
                redirect('/');
            } else {
                // Authentication failed
                view('login', ['error' => $validator->errors()]);
                return;
            }

            redirect('/login');
        }
       
    } public function logout() {
        // Logic for logging out the user
        (new Authenticate())->logout();
        redirect('/login');
    }

}

Yo nunca hice el helper de db() porque no me gusto esa parte , asi que sigo trabajando con use <code>frmwrk\db; </code>

Asi el funciona bien:

127.0.0.1:54978 [200]: GET /login

127.0.0.1:54978 Closing

127.0.0.1:54986 Accepted

127.0.0.1:54994 Accepted

127.0.0.1:54986 [200]: POST /login

127.0.0.1:54986 Closing

127.0.0.1:39062 Accepted

127.0.0.1:54994 [200]: POST /login

127.0.0.1:54994 Closing

[Mon Sep 8 09:10:54 2025] 127.0.0.1:39062 [302]: POST /login

127.0.0.1:39062 Closing

127.0.0.1:51358 Accepted

127.0.0.1:51358 [200]: GET /

127.0.0.1:51358 Closing

127.0.0.1:49264 Accepted

127.0.0.1:49264 [200]: GET /home/edit?id=14

Introducción

Portafolio en PHP puro sin frameworks

Estructura web básica con PHP y Git

Vistas parciales en PHP sin repetir código

Menú moderno en PHP con Tailwind CSS

Menú activo dinámico con PHP y CSS

Front controller y rutas en PHP

Conexión a MySQL con PDO y consultas dinámicas en PHP

Bases de un Framework

Centralización de conexiones a bases de datos en PHP con PDO

Encadenamiento de métodos en PHP con PDO

Validación de formularios PHP con POST

Clase de validación reutilizable para formularios en PHP

Refactorización

Cómo refactorizar una clase Validator en PHP

Archivos sueltos a controladores en PHP

Conexión de rutas con controladores en PHP

Clase de rutas en PHP con GET y POST

Acciones restantes

Rota DELETE para eliminar registros no CRUD

Formulario de edición precargado desde base de datos

Actualizar registros con PUT en Laravel

Estructura correcta de archivos

Configuración de autocarga con Composer en proyectos PHP

Creación y uso de helpers en PHP para código más legible

Helpers PHP para config, DB y redireccionamiento

Seguridad

Primer middleware PHP para proteger rutas

Refactorización de middleware con clases e interfaces en PHP

Vista de inicio de sesión con PHP y control de acceso

Lógica real de login con base de datos

Cifrado de contraseñas y gestión de sesiones en PHP

Flujo completo del sistema

Separa la autenticación del controlador PHP

Redirección automática después de enviar formularios

Clase SessionManager para mensajes flash en PHP

Helper de errores reutilizable en PHP

Integración de funciones con sistema de sesiones en PHP

Sistema de redirecciones con mensajes en PHP

Middleware para proteger rutas de usuarios logueados en PHP

Resumen