Autenticación en Vue.js con JSON Web Tokens (JWT)

Clase 53 de 53 • Curso Profesional de Vue.js 2

Resumen

¿Por qué usar tokens en aplicaciones Vue.js?

La autenticación en aplicaciones Vue.js se ha convertido en un tema crucial en el desarrollo web moderno, y uno de los métodos más efectivos y populares es a través del uso de tokens, específicamente JSON Web Tokens (JWT). Estos tokens son esenciales porque permiten una autenticación sin estado, lo que significa que no dependen de una sesión almacenada en el servidor. Esto hace que los tokens sean ideales para arquitecturas RESTful, donde cada solicitud HTTP es independiente y contiene toda la información necesaria para autenticar al usuario.

¿Cuáles son las ventajas de los JSON Web Tokens?

Desacoplamiento y Autonomía: Los tokens permiten a las aplicaciones funcionar de manera desacoplada, lo que significa que no es necesario ejecutar acciones previas para procesar una solicitud.
Escalabilidad: Al no almacenar sesiones en el servidor, es más sencillo escalar horizontalmente las aplicaciones, sin preocuparnos por compartir información entre instancias de servidor.
Seguridad Autocontenida: JWT es un método de autenticación seguro que almacena información del usuario dentro del mismo token, facilitando así el acceso a datos relevantes sin solicitudes adicionales.
Compatibilidad con JSON: Dado que los JSON Web Tokens están escritos en JSON, es sencillo para cualquier desarrollador JavaScript trabajar con ellos.

¿Cómo se estructura un JSON Web Token?

Un JSON Web Token consta de tres partes codificadas en Base64, separadas por puntos:

Header (Encabezado): Incluye el tipo de token (JWT) y el algoritmo de cifrado utilizado, por ejemplo, HS256.
```
{
  "alg": "HS256",
  "typ": "JWT"
}
```
Payload (Cuerpo): Contiene las declaraciones sobre el usuario y datos adicionales que queramos almacenar.
```
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
```
Firma: Asegura la integridad del token combinando el encabezado, el cuerpo, y una clave secreta.

La seguridad reside en que solo aquellos con acceso a la clave secreta puedan generar una firma válida, asegurando que los datos no han sido manipulados.

¿Dónde aplicar JSON Web Tokens?

Los JSON Web Tokens son ideales para:

Aplicaciones de Una Sola Página (Single Page Applications - SPA): Dado que no se depende del servidor para manejar estado o rutas, adaptándose a APIs RESTful.
APIs y Microservicios: La autenticación se maneja desde el servidor, permitiendo una interacción eficiente y segura.
Aplicaciones Móviles y IoT (Internet of Things): Para validar usuarios y permisos sin la necesidad de sesiones de servidor.

¿Cómo integrar JWT con Vue.js y mantener seguridad?

Para integrar JWT en una aplicación Vue.js, seguir estos pasos es clave:

Preparar una API de autenticación: Usar Node.js con Express para manejar la lógica de generación y validación de los tokens.

const jwt = require('jsonwebtoken');
const token = jwt.sign({ id: user.id }, 'secretKey', { expiresIn: '1h' });

Configurar el Vue Router: Usar Vue Router para gestionar rutas y protegerlas según la autenticación.

router.beforeEach((to, from, next) => {
  const isLoggedIn = !!localStorage.getItem('token');
  if (to.matched.some(record => record.meta.requiresAuth) && !isLoggedIn) {
    next('/login');
  } else {
    next();
  }
});

Utilizar una librería HTTP: Como Axios o fetch con funciones personalizadas para manejar el envío de tokens en headers de las solicitudes.

axios.interceptors.request.use(config => {
  const token = localStorage.getItem('token');
  if (token) {
    config.headers.Authorization = `Bearer ${token}`;
  }
  return config;
});

Almacenar y manejar el token localmente: Usar Local Storage para guardar el token y fragmentos de información del usuario, asegurando una experiencia de usuario fluida.
```
localStorage.setItem('token', response.data.token);
```

Estos pasos ayudan a manejar la autenticación del lado del cliente de manera eficiente, recordando siempre que la lógica de autenticación vital debe residir en el servidor, manteniendo la seguridad de la aplicación.

Para más detalles sobre la implementación y ejemplos de código, se recomienda consultar los documentos oficiales de JSON Web Token, Vue Router, y librerías HTTP como Axios y Fetch. Llene su mente con estos conocimientos y siga construyendo aplicaciones cada vez más seguras y eficientes.

Agustin Clemente

student•

Curso de JWT con Vue a detalle, quien vota por ello?

Erick Perez

student•

Me gustaría, que hiciera un curso con JWT y también incluir auth con github.

Jenny Katherine Aguilera Morales

student•

Acá el repositorio: https://github.com/ianaya89/demo-auth-jwt-vue

Iván Toro

student•

Gracias. 😄

José Diaz

student•

Acá el repositorio de la API: https://github.com/ianaya89/demo-auth-jwt-api

Luis Rogelio Reyes Hernandez

student•

Link de la API de node

Link de la app con vue

juan jesus Castillo Monjaraz

student•

si manejando tokens ya no se manejan sesiones del lado del servidor , de que manera puedo evitar que mas de 1 usuario pueda estar logeado en el sistema al mismo tiempo??

Daniel Villanueva

student•

No almacenar los token de sesión JWT en el localstorage ya que los datos siempre son accesibles mediante JavaScript. Y tu sitio es vulnerable a ataques XSS. Mas info en: https://auth0.com/docs/security/data-security/token-storage

Daniel Farnos

student•

Esta muy bueno esto, ahora probare con passport la autentificacion con facebook, ¿tienes el codigo del lado del server?

Nacho Anaya

teacher•

Hola, aca te dejo el codigo pero tene en cuenta que es simplemente una demo con data mockeda. Saludos

Daniel Farnos

student•

Muchas Gracias!!!

Raul Novelo

student•

En un proyecto me surgio la necesidad de realizar un refresh token ya que cuando del lado del servidor solo verifico si el token existe, es valido y no ha expirado sino entonces lo retorno a login eso lo hace en cada API, como podria refrescar ese token automaticamente y mantener la seguridad en la aplicacion. que cosas debo tomar en cuenta.

Cristian Giagante

student•

el protocolo oauth2 define la implementacion de un metodo para hacer refresh de token por medio de un token especial para refrescar el token original.

Cristian Giagante

student•

https://oauth.net/2/grant-types/refresh-token/

Carlos Eduardo Gomez García

teacher•

Me encantó esta clase, sobre todo porque es algo que estoy a punto de implementar, aún así, me gustaría saber cuál sería la forma de hacer esto usando server sider rendering, pues hasta donde se, al menos en el caso de Nuxt.js, para crear una ruta, basta con crear el componente dentro de pages, pero no se cómo podría agregar la lógica de validación de rutas públicas y privadas ahí dentro

Sebastián Buitrago

student•

Ojala hubieran cursos de nuxt here pero solo hay de next

Ezequiel Mella

student•

Excelente curso Nacho sos un muy buen profe, ademas aprendi muchisimo sobre JS y buenas practicas

Mauricio Duque

student•

Alguien sabe el repo de este ejemplo? Mil gracias

Gabriel De Andrade

student•

Aquí va demo-auth-jwt-vue :D

TICS IADEP

student•

Estoy armando un login con un api y vuex, pero el navegador (Chrome) me muestra un mensaje de seguridad que dice: "Tu contraseña a sido expuesta debido a una violación de la seguridad..." Se muestra al querer redirigir con vue-router o al renderizar un nuevo layout. Alguna idea? a alguien le ha pasado?

Andres Peña

student•

Eso es por que estas en localstorage

Inveb Chile SPA

student•

Tengo una consulta, si yo sigo la estructura del proyecto platzimusic y a este le agrego un formulario de login con validación de athentication en routes (lo explicado en el vídeo de uthentication), ¿como puedo cambiar el Bearer token de la variable constante platziMusicService ubicada en la ruta src/services/platzi-music.js, si esta se inicializa en login, lo pregunto por que al crear el login en platzi music service, me logeo y al redirigirme al listado me aparece error de authentication en la Api, con un ejemplo personal que hice de backend y tengo que recargar la pagina para que la query se envie con el token, utilizo axios.

Marcos Rodriguez

student•

Muchas gracias por el curso, esta muy bueno... pero tengo varias cosas sin entender; teniendo en cuenta que estamos implementando **vue **con vue-router primero importamos Vue y luego lo volvemos a importar en el router, como que hay codigo repetitivo, ejemplo:

main.js

import Vue from 'vue'
import App from './App'
import router from './router/index'

new Vue({
  el: '#app',
  router,
  template: '<App/>',
  components: {
    App
  }
})

y luego hacemos esto en el router.js

import Vue from 'vue'
import Router from 'vue-router'

...
Vue.use(Router)

y ya he visto en varios proyectos profesionales de gran embergadura que se hace eso? No se supone que debemos optimizar codigo

Manuel Ojeda

student•

En realidad el código debería ir así:

main.js

import Vue from 'vue'
import Router from 'vue-router'
import App from './App'
import router from './router/index'

new Vue({
  el: '#app',
  router,
  template: '<App/>',
  components: {
    App
  }
})

Y en router.js solo tendriamos un arreglo de rutas:

router.js

import TuComponente from '../components/TuComponente.vue'

const routes = [
    { path: '/', component: TuComponente , name: 'home' },
]
export default routes

Alex Garcia Miranda

student•

Muchas gracias, el curso me ayudo mucho, algo que no encontré en el curso es lo siguiente: La posibilidad de renderizar datos automáticamente que se actualizan en la base de datos mientras se despliegan los mismos en una vista, es decir que la App. sea responsiva con el modelo o la información de la Base de Datos.

Muchas gracias por la ayuda!

Edward Steven Ramos Palacios

teacher•

Para lograr lo que comentas, se necesitaría de un conjunto de artefactos. Inicialmente tu base de datos debería tener la capacidad de notificar los cambios y de que haya alguien escuchando esos cambios para luego por medio de un trigger renderizar de nuevo la vista. por ejemplo RethinkdDB te ofrece la posibilidad de notificar los cambios en los datos.

Simon Clemente

student•

que Genial esta este live

Edgar Ivan Vazquez Camargo

student•

Yo personalmente uso un plugin llamado vuex-persistedstate para poder acceder a esa informacion como si fuera el state. Aunque hay que tener cuidado si no se quiere que todo el estado de la aplicacion entre en localstorage,

Alan Lapierre

student•

AYUDA !! Estoy usando el modelo del curso como base para un proyecto laboral, lógicamente también uso TRAE para hacer las llamadas al CORE…tengo una llamda (POST) con la cual hago login en el API REST…esa llamada usa BASIC AUTH…la misma llamada en POSTMAN funciona OK, en cambio en TRAE no…no hay cookies de por medio ni ningún otro header que se agregue…Tienen idea porque falla ??? Yo no se si TRAE me deja hacer un POST con un body vacio…tal vez el error venga por ahí…

Carlos Enrique Gonzalez Peña

student•

tal ves necesitas mandar el header de 'Content-Type: application/json’
Si no cámbiate a axios, tiene mucha documentación en internet y por default funciona

Diego Tinitana

student•

Si me pueden ayudar con el link del proyecto de api ??

Alejandro González Reyes

student•

Esto lo manejé hace unos años con MEAN, pero me interesaría aplicarlo con Laravel y Vue, o hacerlo con PHP vanilla y Vue.

Jaime Rafael Norato Corredor

student•

De pronto te pueda ser mas útil laravel passport, que esta hecho para una integración mas fácil con laravel y tiene una mayor facilidad de implementación. te dejo esta guia del paso a paso para la implementación de passport en laravel, por si te puede interesar. https://medium.com/modulr/create-api-authentication-with-passport-of-laravel-5-6-1dc2d400a7f

Ronald Alexander Palacios Garrido

student•

https://anexsoft.com/implementacion-de-json-web-token-con-php

David Alejandro Abreu Abreu

student•

Lo que debió haber sido una clase bonus! Nacho lo escribió en un articulo: https://medium.com/@ianaya89/crea-tu-sitio-web-con-github-pages-y-nuxt-js-6a90fd0a0dc4