Rubén Santiago Yuste
La gestión de sesiones y tokens son dos enfoques comunes para mantener la autenticación en una aplicación web. Aquí te mostraré cómo implementar cada uno en una aplicación Express.js:
Gestión de Sesiones:
La gestión de sesiones utiliza cookies para almacenar información de sesión en el lado del cliente. Esto se hace mediante el uso de una cookie de sesión que contiene un identificador único de sesión. El servidor guarda información de sesión asociada a este identificador y la usa para autenticar al usuario en las solicitudes posteriores.
Configuración de express-session:
Instala y
configura express-session para
manejar la gestión de sesiones en tu aplicación.
npm install express-session
const express = require('express');
const session = require('express-session');
const app = express();
// Configuración de express-session
app.use(session({
secret: 'secreto', // Secreto para firmar la cookie de sesión
resave: false,
saveUninitialized: false
}));
// Resto de la configuración de Express y rutas...
Almacenamiento de datos de sesión:
Puedes guardar datos de sesión en
el objeto req.session.
app.post('/login', (req, res) => {
// Autenticar al usuario...
req.session.usuarioId = usuario.id; // Guardar el ID de usuario en la sesión
});
Protección de rutas:
Utiliza middleware personalizado para proteger rutas que requieran autenticación.
function verificarAutenticacion(req, res, next) {
if (req.session.usuarioId) {
return next(); // Si hay un usuario autenticado en la sesión, continuar
}
res.redirect('/login'); // Si no hay un usuario autenticado, redirigir al inicio de sesión
}
app.get('/ruta-protegida', verificarAutenticacion, (req, res) => {
res.send('Ruta protegida');
});Uso de Tokens (JWT - JSON Web Tokens):
Los tokens JWT son una forma popular de implementar autenticación sin estado. En lugar de almacenar la información de sesión en el servidor, la información se cifra en un token y se envía al cliente. El cliente incluye este token en cada solicitud subsiguiente, y el servidor puede verificar la autenticidad del token y extraer información de él para autenticar al usuario.
Instalación de jsonwebtoken:
Instala jsonwebtoken para
generar y verificar tokens JWT en tu aplicación.
npm install jsonwebtoken
Generación de tokens:
Genera un token JWT cuando el usuario se autentica correctamente.
const jwt = require('jsonwebtoken');
app.post('/login', (req, res) => {
// Autenticar al usuario...
const token = jwt.sign({ usuarioId: usuario.id }, 'secreto', { expiresIn: '1h' });
res.json({ token });
});
Verificación de tokens:
Utiliza middleware para verificar y decodificar el token en las solicitudes entrantes.
function verificarToken(req, res, next) {
const token = req.headers['authorization']; // Obtener token del encabezado Authorization
if (!token) {
return res.status(401).json({ mensaje: 'Token no proporcionado' });
}
jwt.verify(token, 'secreto', (error, decoded) => {
if (error) {
return res.status(401).json({ mensaje: 'Token inválido' });
}
req.usuarioId = decoded.usuarioId; // Guardar el ID de usuario decodificado en la solicitud
next();
});
}
app.get('/ruta-protegida', verificarToken, (req, res) => {
res.send('Ruta protegida');
});Ambos enfoques tienen sus pros y sus contras, y la elección entre gestión de sesiones y tokens JWT depende de las necesidades específicas de tu aplicación. La gestión de sesiones es más simple de implementar, mientras que los tokens JWT son más escalables y adecuados para aplicaciones distribuidas o basadas en API. Considera tus requisitos de seguridad, escalabilidad y complejidad al elegir el método de autenticación adecuado para tu aplicación.
0 Comments:
Publicar un comentario