Guías de Make it Real
Guías de Make it Real
Introduction
Preparación
Git
HTML y CSS
Bootstrap 3
Bootstrap 4
Ruby
Programación Orientada a Objetos en Ruby
JavaScript I
JavaScript en el navegador
jQuery
JavaScript II
HTTP y Sinatra
Bases de datos
Ruby on Rails I
Ruby on Rails II
Express.js
Express.js II
Mongoose
Web Sockets
Autenticación
Cargar imágenes
Deployment
Testing
Creando una Web API
React
Redux
Algoritmos
Powered by GitBook

Autenticación

En este capitulo vamos a ver cómo almacenar las contraseñas de los usuarios, y cómo identificar las peticiones HTTP.

Recuerda que HTTP es un protocolo sin estado, lo que quiere decir que el servidor Web no mantiene un registro de quién está visitando una página.

Almacenando las contraseñas

Para almacenar las contraseñas en la base de datos se recomienda utilizar un paquete llamado bcrypt para encriptar las contraseñas.

El primer paso es instalar el paquete con npm o Yarn. Por ejemplo con Yarn:

$ yarn add bcrypt

Para encriptar una contraseña utiliza el método hash:

var bcrypt = require('bcrypt');
bcrypt.hash("alguna-contraseña", 10).then(function(hash) {
  // almacena la contraseña en la base de datos
})

Para verificar si una contraseña es correcta utiliza el método compare:

bcrypt.compare("alguna-contraseña", hash).then(function(res) {
  // res == true
});
bcrypt.compare("otra-contraseña", hash).then(function(res) {
  // res == false
});

Identificando las peticiones

Para identificar las peticiones debemos guardar el id del usuario en la sesión cuando este se autentique.

El primer paso es asegurarte que hayas instalado y configurado la librería cookie-session como se muestra en el capítulo de Cookies y sesión de Express I.

El siguiente paso es agregar el id del usuario a la sesión. Por ejemplo, si tu ruta de autenticación es POST /login y si estás utilizando Mongoose:

app.post("/login", function(req, res) {  
  const email = req.body.email;
  const password = req.body.password;
  try {
    const user = await User.authenticate(email, password);
    if (user) {
      req.session.userId = user._id; // acá guardamos el id en la sesión
      return res.redirect("/");
    } else {
      res.render("/login", { error: "Wrong email or password. Try again!" });
    }
  } catch (e) {
    return next(e);
  }
});

El método authenticate del modelo User sería el siguiente:

const UserSchema = new mongoose.Schema({ // ... });
UserSchema.statics.authenticate = async (email, password) => {
  // buscamos el usuario utilizando el email
  const user = await mongoose.model("User").findOne({ email: email });
  if (user) {
    // si existe comparamos la contraseña
    return new Promise((resolve, reject) => {
      bcrypt.compare(password, user.password, (err, result) => {
        if (err) reject(err);
        resolve(result === true ? user : null);
      });
    });
    return user;
  }
  return null;
};

bcrypt no soporta aún async/await así que en la línea 9 estamos envolviendo el código que hace la verificación en una promesa.

Por último, para identificar las peticiones HTTP creamos un middleware que verifica si la sesión tiene un userId y carga al usuario:

const requireUser = async (req, res, next) => {
  const userId = req.session.userId;
  if (userId) {
    const user = await User.findOne({ _id: userId });
    res.locals.user = user;
    next();
  } else {
    return res.redirect("/login");
  }
}

Ahora, en todas las rutas que requieran autenticación podemos agregar este middleware. Por ejemplo:

app.get("/", requireUser, (req, res) => {
  res.render("index");
});

Para ver un ejemplo completo de autenticación de usuarios con Express.js y MongoDB te recomendamos ver la aplicación que se encuentra en este repositorio de Github.

Previous
Web Sockets
Next
Cargar imágenes
Last updated 3 years ago
Edit on GitHub
Contents
Almacenando las contraseñas
Identificando las peticiones