# RESUMEN EJECUTABLE - SESI√ìN 3: Seguridad y Autenticaci√≥n

**Contenido:** Cheat-sheet con snippets ejecutables y tablas de referencia r√°pida.

**Uso:** Este notebook es tu gu√≠a de consulta r√°pida para implementar autenticaci√≥n en FastAPI.

## CONFIGURACI√ìN INICIAL

In [None]:
# Instalaci√≥n
!pip install fastapi uvicorn passlib[bcrypt] PyJWT python-multipart python-dotenv -q

# Imports
from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from passlib.context import CryptContext
import jwt
from jwt.exceptions import PyJWTError
from datetime import datetime, timedelta
from typing import Annotated
from pydantic import BaseModel
import os

print("‚úÖ Listo para usar")

---

## üîê 1. HASH DE PASSWORDS (bcrypt)

### Configuraci√≥n

In [None]:
# Crear contexto de hashing
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# Funciones helper
def hash_password(password: str) -> str:
    """Hashea una contrase√±a"""
    return pwd_context.hash(password)

def verify_password(plain_password: str, hashed_password: str) -> bool:
    """Verifica si una contrase√±a coincide con el hash"""
    # ‚ö†Ô∏è bcrypt es intencionalmente LENTO (~300ms) para prevenir ataques de fuerza bruta
    return pwd_context.verify(plain_password, hashed_password)

### Ejemplo de uso

In [None]:
# Hashear password
password_hash = hash_password("mi_password")
print(f"Hash: {password_hash}")

# Verificar password
es_valida = verify_password("mi_password", password_hash)
print(f"¬øPassword correcta? {es_valida}")

### üìä Tabla: Algoritmos de hashing

| Algoritmo | Seguridad | Velocidad | Uso recomendado |
|-----------|-----------|-----------|------------------|
| **bcrypt** | ‚≠ê‚≠ê‚≠ê‚≠ê‚≠ê | Lenta (bueno) | ‚úÖ Passwords |
| argon2 | ‚≠ê‚≠ê‚≠ê‚≠ê‚≠ê | Lenta (bueno) | ‚úÖ Passwords |
| scrypt | ‚≠ê‚≠ê‚≠ê‚≠ê | Lenta (bueno) | ‚úÖ Passwords |
| MD5 | ‚≠ê | R√°pida (malo) | ‚ùå NUNCA usar |
| SHA256 | ‚≠ê‚≠ê | R√°pida (malo) | ‚ùå NO para passwords |

---

## üé´ 2. JWT (JSON Web Tokens)

### Configuraci√≥n

In [None]:
# Configuraci√≥n JWT (‚ö†Ô∏è En producci√≥n: usar os.getenv())
SECRET_KEY = "tu-clave-super-secreta-cambiar-en-produccion"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

### Generar token

In [None]:
def crear_token(username: str) -> str:
    """Genera un JWT con el username y expiraci√≥n"""
    payload = {
        "sub": username,  # "sub" (subject) es el claim est√°ndar para identificador
        "exp": datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    }
    return jwt.encode(payload, SECRET_KEY, algorithm=ALGORITHM)

# Ejemplo
token = crear_token("usuario123")
print(f"Token: {token[:50]}...")

### Decodificar token

In [None]:
def decodificar_token(token: str) -> dict:
    """Decodifica y valida un JWT"""
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except PyJWTError:
        raise ValueError("Token inv√°lido o expirado")

# Ejemplo
payload = decodificar_token(token)
print(f"Username: {payload.get('sub')}")

### üìä Estructura de un JWT

```
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyMTIzIiwiZXhwIjoxNjg5...abcdefg
‚îî‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ HEADER ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îò ‚îî‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ PAYLOAD ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îò ‚îî‚îÄ SIGNATURE ‚îÄ‚îò
```

| Parte | Contenido | Codificaci√≥n |
|-------|-----------|-------------|
| **Header** | Algoritmo y tipo | Base64 |
| **Payload** | Claims (datos) | Base64 |
| **Signature** | Firma criptogr√°fica | HMAC SHA256 |

### üìä Claims est√°ndar JWT

| Claim | Nombre | Descripci√≥n | Obligatorio |
|-------|--------|-------------|-------------|
| `sub` | Subject | Identificador del usuario | ‚úÖ S√≠ |
| `exp` | Expiration | Timestamp de expiraci√≥n | ‚úÖ S√≠ |
| `iat` | Issued At | Cu√°ndo se emiti√≥ | ‚ùå No |
| `iss` | Issuer | Qui√©n emiti√≥ el token | ‚ùå No |
| `aud` | Audience | Para qui√©n es el token | ‚ùå No |

---

## üîì 3. OAUTH2 EN FASTAPI

### Modelos Pydantic

In [None]:
class User(BaseModel):
    username: str
    email: str

class UserRegister(BaseModel):
    username: str
    email: str
    password: str

class Token(BaseModel):
    access_token: str
    token_type: str

### OAuth2PasswordBearer

In [None]:
# Configura el esquema OAuth2
# tokenUrl="token" indica que POST /token es el endpoint de login
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

# Esta dependencia extrae el token del header: Authorization: Bearer <token>

### üìä Diagrama: Flujo del token OAuth2

```
1. LOGIN (POST /token)
   Cliente ‚Üí FastAPI: {username, password}
   FastAPI: Valida credenciales
   FastAPI ‚Üí Cliente: {access_token: "eyJ...", token_type: "bearer"}

2. ACCESO PROTEGIDO (GET /usuarios/me)
   Cliente ‚Üí FastAPI: Authorization: Bearer eyJ...
                        ‚Üì
            [OAuth2PasswordBearer]  ‚Üê Extrae token del header
                        ‚Üì
            [obtener_usuario_actual] ‚Üê Valida token + busca usuario
                        ‚Üì
   FastAPI ‚Üí Cliente: {username: "...", email: "..."}
```

### Dependencia de autenticaci√≥n

In [None]:
# Base de datos fake (en producci√≥n: usar BD real)
# ‚ö†Ô∏è Se borra al reiniciar el kernel del notebook (solo vive en RAM)
USERS_DB = {}

async def obtener_usuario_actual(token: str = Depends(oauth2_scheme)) -> User:
    """Valida el token y retorna el usuario"""
    try:
        # Decodificar token
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        
        # Buscar usuario en BD
        user_dict = USERS_DB.get(username)
        if user_dict is None:
            raise HTTPException(status_code=401, detail="Usuario no encontrado")
        
        return User(username=user_dict["username"], email=user_dict["email"])
    except PyJWTError:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Token inv√°lido",
            headers={"WWW-Authenticate": "Bearer"},
        )

# Tipo reutilizable
CurrentUser = Annotated[User, Depends(obtener_usuario_actual)]

---

## üöÄ 4. ENDPOINTS COMPLETOS

### POST /register (Registro)

In [None]:
app = FastAPI()

@app.post("/register", response_model=User)
async def registrar_usuario(user_data: UserRegister):
    # 1. Validar que no existe
    if user_data.username in USERS_DB:
        raise HTTPException(status_code=400, detail="Usuario ya existe")
    
    # 2. Hashear password
    hashed_password = hash_password(user_data.password)
    
    # 3. Guardar en BD
    USERS_DB[user_data.username] = {
        "username": user_data.username,
        "email": user_data.email,
        "hashed_password": hashed_password
    }
    
    # 4. Retornar usuario (sin password)
    return User(username=user_data.username, email=user_data.email)

### POST /token (Login)

In [None]:
@app.post("/token", response_model=Token)
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    # 1. Buscar usuario
    user = USERS_DB.get(form_data.username)
    if not user:
        raise HTTPException(status_code=401, detail="Credenciales incorrectas")
    
    # 2. Verificar password
    if not verify_password(form_data.password, user["hashed_password"]):
        raise HTTPException(status_code=401, detail="Credenciales incorrectas")
    
    # 3. Generar token
    token = crear_token(user["username"])
    
    # 4. Retornar token
    return {"access_token": token, "token_type": "bearer"}

### GET /usuarios/me (Perfil protegido)

In [None]:
@app.get("/usuarios/me", response_model=User)
async def obtener_mi_perfil(current_user: CurrentUser):
    """Endpoint protegido: requiere token v√°lido"""
    return current_user

---

## üìä 5. TABLA COMPARATIVA: ESQUEMAS DE SEGURIDAD

| M√©todo | Tipo | D√≥nde viaja | Stateful | Uso |
|--------|------|-------------|----------|-----|
| **Basic Auth** | Usuario:Password | Header (Base64) | No | APIs simples |
| **Bearer Token** | Token opaco | Header | S√≠ | APIs tradicionales |
| **JWT** | Token firmado | Header | No | ‚úÖ APIs modernas |
| **OAuth2** | Token + Refresh | Header | Depende | Sistemas complejos |
| **API Key** | Clave fija | Header/Query | No | Servicios B2B |

---

## üìä 6. C√ìDIGOS HTTP DE AUTENTICACI√ìN

| C√≥digo | Nombre | Cu√°ndo usar |
|--------|--------|-------------|
| **200** | OK | Login exitoso, perfil obtenido |
| **201** | Created | Usuario registrado |
| **400** | Bad Request | Usuario duplicado, datos inv√°lidos |
| **401** | Unauthorized | ‚ùå Sin token, token inv√°lido/expirado, credenciales incorrectas |
| **403** | Forbidden | Token v√°lido pero sin permisos |
| **422** | Unprocessable | Validaci√≥n Pydantic fall√≥ |

---

## üß™ 7. TESTING CON TESTCLIENT

### Pruebas b√°sicas

In [None]:
from fastapi.testclient import TestClient

client = TestClient(app)

# 1. Registro
response = client.post("/register", json={
    "username": "test",
    "email": "test@example.com",
    "password": "test123"
})
print(f"Registro: {response.status_code}")

# 2. Login
response = client.post("/token", data={
    "username": "test",
    "password": "test123"
})
token = response.json()["access_token"]
print(f"Login: {response.status_code}")

# 3. Acceso protegido
response = client.get("/usuarios/me", headers={
    "Authorization": f"Bearer {token}"
})
print(f"Perfil: {response.status_code}")
print(f"Usuario: {response.json()}")

---

## ‚ö†Ô∏è 8. ERRORES COMUNES Y SOLUCIONES

| Error | Causa | Soluci√≥n |
|-------|-------|----------|
| `401 Unauthorized` | Token no enviado | A√±adir header `Authorization: Bearer <token>` |
| `Signature has expired` | Token caducado | Generar nuevo token con POST /token |
| `Invalid token` | Token malformado o firma inv√°lida | Verificar SECRET_KEY y ALGORITHM |
| `Usuario ya existe` | Intento de registro duplicado | Usar otro username |
| `422 Unprocessable` | JSON/form data mal formado | Verificar estructura de datos |
| Password no verifica | Hash incorrecto | Verificar que usas pwd_context.verify() |

---

## ‚úÖ 9. CHECKLIST DE SEGURIDAD

### Desarrollo
- [ ] ‚úÖ Passwords hasheadas con bcrypt
- [ ] ‚úÖ Tokens JWT con expiraci√≥n
- [ ] ‚úÖ OAuth2PasswordBearer configurado
- [ ] ‚úÖ Dependencia obtener_usuario_actual
- [ ] ‚úÖ response_model para no exponer passwords

### Producci√≥n
- [ ] ‚ö†Ô∏è SECRET_KEY en variable de entorno
- [ ] ‚ö†Ô∏è HTTPS obligatorio (no HTTP)
- [ ] ‚ö†Ô∏è Rate limiting en /token
- [ ] ‚ö†Ô∏è Validaci√≥n de email en registro
- [ ] ‚ö†Ô∏è Logs de intentos fallidos
- [ ] ‚ö†Ô∏è Refresh tokens implementados

---

## üîó 10. SNIPPET: CONFIGURACI√ìN CON .env

In [None]:
# ‚ö†Ô∏è FORMA CORRECTA EN PRODUCCI√ìN
import os
from dotenv import load_dotenv  # pip install python-dotenv

# Cargar variables del archivo .env
load_dotenv()

# Obtener SECRET_KEY desde variable de entorno
SECRET_KEY = os.getenv("SECRET_KEY")
if not SECRET_KEY:
    raise ValueError("SECRET_KEY no configurada en .env")

ALGORITHM = os.getenv("ALGORITHM", "HS256")  # Valor por defecto
ACCESS_TOKEN_EXPIRE_MINUTES = int(os.getenv("ACCESS_TOKEN_EXPIRE_MINUTES", "30"))

### Archivo .env (ejemplo)

```bash
# .env (NO SUBIR A GIT)
SECRET_KEY=tu-clave-generada-aleatoriamente-de-64-caracteres
ALGORITHM=HS256
ACCESS_TOKEN_EXPIRE_MINUTES=30
```

---

## üéØ RESUMEN FINAL

### Flujo completo de autenticaci√≥n

```
1. REGISTRO
   POST /register {username, email, password}
   ‚Üí Hash password con bcrypt
   ‚Üí Guardar en BD
   ‚Üí Retornar 201 Created

2. LOGIN
   POST /token (form_data)
   ‚Üí Buscar usuario
   ‚Üí Verificar password con bcrypt
   ‚Üí Generar JWT con PyJWT
   ‚Üí Retornar {access_token, token_type}

3. ACCESO PROTEGIDO
   GET /usuarios/me (Authorization: Bearer <token>)
   ‚Üí OAuth2PasswordBearer extrae token
   ‚Üí obtener_usuario_actual valida token
   ‚Üí Retornar datos del usuario
```

### Conceptos clave
- ‚úÖ **Bcrypt:** Hash irreversible de passwords
- ‚úÖ **JWT:** Token firmado con claims
- ‚úÖ **OAuth2:** Est√°ndar para autenticaci√≥n en APIs
- ‚úÖ **Depends:** Inyecci√≥n de dependencias para validar tokens
- ‚úÖ **401:** C√≥digo HTTP para errores de autenticaci√≥n