# SESI√ìN 3: Seguridad y Autenticaci√≥n

**Objetivo:** Implementar autenticaci√≥n segura en APIs FastAPI usando OAuth2, JWT y hash de contrase√±as con bcrypt.

**Duraci√≥n:** 180 minutos

**Contenido:**
1. Introducci√≥n a OAuth2 y JWT
2. Hash de Contrase√±as con bcrypt
3. Generaci√≥n de Tokens JWT
4. OAuth2PasswordBearer en FastAPI
5. Protecci√≥n de Rutas

## CONFIGURACI√ìN DEL ENTORNO

Ejecuta estas celdas para preparar el entorno de trabajo.

In [None]:
# Verificaci√≥n de Python
import sys
print(f"Python: {sys.version}")
assert sys.version_info >= (3, 8), "Se requiere Python 3.8 o superior"

In [1]:
# Instalaci√≥n de dependencias de seguridad
!pip install fastapi==0.115.0 uvicorn[standard]==0.32.0 passlib[bcrypt]==1.7.4 bcrypt==4.0.1 PyJWT==2.8.0 python-multipart==0.0.6 -q
print("‚úÖ Dependencias instaladas: FastAPI, passlib (bcrypt), PyJWT, python-multipart")
print("\nüìù Nota t√©cnica:")
print("  - PyJWT: Librer√≠a moderna para JWT (reemplaza a python-jose que est√° abandonado)")
print("  - passlib: Est√°ndar para hashing de passwords (bcrypt backend)")

‚úÖ Dependencias instaladas: FastAPI, passlib (bcrypt), PyJWT, python-multipart

üìù Nota t√©cnica:
  - PyJWT: Librer√≠a moderna para JWT (reemplaza a python-jose que est√° abandonado)
  - passlib: Est√°ndar para hashing de passwords (bcrypt backend)


In [2]:
# Imports globales
from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from fastapi.testclient import TestClient
from passlib.context import CryptContext
import jwt  # PyJWT
from jwt.exceptions import PyJWTError
from datetime import datetime, timedelta
from typing import Annotated, Optional
from pydantic import BaseModel
import os

print("‚úÖ Imports completados")

‚úÖ Imports completados


### Servidor

Una funci√≥n para ejecutar el servidor sin tener que reiniciar el kernel

In [3]:
import uvicorn
import threading
import time
import logging

# Variable global para guardar la referencia al servidor activo
# (Esto sobrevive entre ejecuciones de celdas)
if "active_server" not in globals():
    active_server = None


def run_api(app_instance, port=8000):
    global active_server

    logging.getLogger("uvicorn").setLevel(logging.CRITICAL)
    logging.getLogger("uvicorn.error").setLevel(logging.CRITICAL)
    logging.getLogger("uvicorn.access").setLevel(logging.CRITICAL)

    # 1. SI YA HAY UN SERVIDOR, LO APAGAMOS
    if active_server:
        active_server.should_exit = True
        active_server.force_exit = True

        # Esperamos a que libere el puerto (max 3 segundos)
        for _ in range(30):
            if not active_server.started:
                break
            time.sleep(0.1)

    # 2. CONFIGURAMOS EL NUEVO
    config = uvicorn.Config(
        app=app_instance, host="127.0.0.1", port=port, log_level="warning"
    )
    server = uvicorn.Server(config)

    # Guardamos la referencia global
    active_server = server

    # 3. ARRANCAMOS EN UN HILO APARTE
    thread = threading.Thread(target=server.run)
    thread.daemon = True
    thread.start()

    time.sleep(1)
    print(f"üöÄ Servidor REINICIADO en http://127.0.0.1:{port}")
    print(f"üìÑ Documentaci√≥n: http://127.0.0.1:{port}/docs")


print("‚úÖ Definida corrrectamente")

‚úÖ Definida corrrectamente


---

## 1. INTRODUCCI√ìN A OAUTH2 Y JWT

### ¬øQu√© es OAuth2?

**OAuth2** es un protocolo de autorizaci√≥n (no autenticaci√≥n) que permite a aplicaciones obtener acceso limitado a cuentas de usuario.

**Flujo t√≠pico en una API:**

```
1. Usuario env√≠a credenciales (username/password)
   ‚Üì
2. Servidor valida credenciales
   ‚Üì
3. Servidor genera TOKEN (JWT)
   ‚Üì
4. Cliente guarda token
   ‚Üì
5. Cliente env√≠a token en cada request
   (Header: Authorization: Bearer <token>)
   ‚Üì
6. Servidor valida token y procesa request
```

### ¬øQu√© es JWT (JSON Web Token)?

JWT es un est√°ndar para crear tokens de acceso que contienen informaci√≥n del usuario.

**Estructura de un JWT:**

```
eyJhbGc.eyJzdWI.SflKxwRJ
   ‚îÇ      ‚îÇ       ‚îÇ
 Header Payload Signature
```

**Partes del JWT:**

1. **Header:** Algoritmo de firma (ej: HS256)
2. **Payload:** Datos del usuario (claims)
   - `sub`: Subject (user_id)
   - `exp`: Expiration time
   - Datos personalizados (email, roles, etc.)
3. **Signature:** Firma criptogr√°fica con SECRET_KEY

### ¬øPor qu√© JWT para APIs?

| Ventaja | Descripci√≥n |
|---------|-------------|
| **Stateless** | No requiere almacenar sesiones en servidor |
| **Aut√≥nomo** | Contiene toda la informaci√≥n necesaria |
| **Portable** | Funciona entre dominios y servicios |
| **Seguro** | Firmado criptogr√°ficamente |
| **Escalable** | No requiere BD de sesiones |

### Ejemplo Visual: Decodificar un JWT

Vamos a ver c√≥mo se ve un JWT decodificado (sin validar la firma).

In [15]:
# Decodificar un JWT de ejemplo (SIN verificar firma)
token_ejemplo = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyMTIzIiwiZXhwIjoxNzM5MjI2MDA0LCJlbWFpbCI6InVzZXJAZXhhbXBsZS5jb20ifQ.2xT8pZ9QZ3YxQj7jW8mN5pK4vR2sL1qH6fB9wD0eU3c"

# Decodificar SIN validar (solo para ver contenido)
payload = jwt.decode(token_ejemplo, options={"verify_signature": False}, algorithms=["HS256"])
print("üì¶ Contenido del JWT (payload):")
print(f"  - sub (user_id): {payload.get('sub')}")
print(f"  - exp (expira): {payload.get('exp')}")
print(f"  - email: {payload.get('email')}")
print("\n‚ö†Ô∏è En producci√≥n SIEMPRE verificar la firma")

üì¶ Contenido del JWT (payload):
  - sub (user_id): user123
  - exp (expira): 1739226004
  - email: user@example.com

‚ö†Ô∏è En producci√≥n SIEMPRE verificar la firma


### Micro-reto: Analog√≠a del JWT

Piensa en un JWT como un **pase VIP con holograma de seguridad**:
- Contiene tu informaci√≥n (nombre, nivel de acceso)
- Tiene fecha de caducidad
- Est√° firmado de forma imposible de falsificar
- No necesitas consultar una base de datos cada vez que lo presentas

In [None]:
# TODO: ¬øQu√© pasa si modificamos el payload de un JWT?
# Intenta cambiar el 'sub' del token_ejemplo y vuelve a decodificarlo
# ¬øLa firma sigue siendo v√°lida?

# Pista: La firma CAMBIA si modificas el payload
# Por eso JWT es seguro contra manipulaci√≥n

---

## 2. HASH DE CONTRASE√ëAS CON BCRYPT

### ‚ö†Ô∏è REGLA DE ORO: NUNCA guardar contrase√±as en texto plano

**Problema:**
```python
# ‚ùå MAL - Contrase√±a visible
usuarios = {
    "user1": {"password": "mipassword123"}  # Si roban la BD, roban las contrase√±as
}
```

**Soluci√≥n: Hash con bcrypt**
```python
# ‚úÖ BIEN - Hash irreversible
usuarios = {
    "user1": {"password": "$2b$12$KIX..."}
}
```

### ¬øQu√© es bcrypt?

**bcrypt** es un algoritmo de hash dise√±ado espec√≠ficamente para contrase√±as:

| Caracter√≠stica | Beneficio |
|----------------|----------|
| **Lento** | Dificulta ataques de fuerza bruta |
| **Salt autom√°tico** | Dos contrase√±as iguales generan hashes diferentes |
| **Ajustable** | Puedes aumentar la complejidad con el tiempo |
| **Irreversible** | No se puede obtener la contrase√±a original |

### Conceptos clave

- **Hash:** Transformaci√≥n unidireccional (password ‚Üí hash)
- **Salt:** Valor aleatorio que se a√±ade antes de hashear
- **Verificaci√≥n:** Hashear el intento y comparar con el hash guardado

### Configuraci√≥n de passlib con bcrypt

Vamos a crear un contexto de hash que usaremos en toda la aplicaci√≥n.

In [16]:
# Configurar el contexto de hashing con bcrypt
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

print("‚úÖ Contexto de hash configurado con bcrypt")

‚úÖ Contexto de hash configurado con bcrypt


### Ejemplo: Hashear una contrase√±a

In [23]:
# Contrase√±a original
password_original = "miSuperPassword123"

# Generar hash
password_hash = pwd_context.hash(password_original)

print("üîí Hash generado:")
print(f"  Original: {password_original}")
print(f"  Hash: {password_hash}")
print(f"  Longitud: {len(password_hash)} caracteres")
print("\n‚ö†Ô∏è El hash es IRREVERSIBLE")

üîí Hash generado:
  Original: miSuperPassword123
  Hash: $2b$12$t6d6pmT4hC0pLE46kZo92.jsrgr6RWtsXVfeuuNSI9cDwlfSefdVS
  Longitud: 60 caracteres

‚ö†Ô∏è El hash es IRREVERSIBLE


### Ejemplo: Verificar una contrase√±a

In [24]:
# Verificar contrase√±a correcta
es_correcta = pwd_context.verify("miSuperPassword123", password_hash)
print(f"‚úÖ Contrase√±a correcta: {es_correcta}")

# Verificar contrase√±a incorrecta
es_incorrecta = pwd_context.verify("otraPassword", password_hash)
print(f"‚ùå Contrase√±a incorrecta: {es_incorrecta}")

‚úÖ Contrase√±a correcta: True
‚ùå Contrase√±a incorrecta: False


### Micro-reto: Salt autom√°tico

In [25]:
# TODO: Genera 3 hashes de la MISMA contrase√±a "password123"
# Observa que los hashes son DIFERENTES cada vez
# Esto es gracias al salt autom√°tico de bcrypt

password = "password123"
hash1 = pwd_context.hash(password)
hash2 = pwd_context.hash(password)
hash3 = pwd_context.hash(password)

print("Hash 1:", hash1)
print("Hash 2:", hash2)
print("Hash 3:", hash3)

print("\n¬øSon iguales?", hash1 == hash2)
print("¬øSon iguales?", hash2 == hash3)
print("¬øSon iguales?", hash1 == hash3)

print("\nPero TODOS verifican correctamente:", pwd_context.verify(password, hash1))
print("Pero TODOS verifican correctamente:", pwd_context.verify(password, hash2))
print("Pero TODOS verifican correctamente:", pwd_context.verify(password, hash3))

Hash 1: $2b$12$v3ggW3FfvItaHt9vjMd6TulT5rJbR2PM0w0Fuc2UPjS76BnskgZte
Hash 2: $2b$12$dlSsDSir1G/FjphunNipcu.UlMRg3mldhg07k/PrENn5.omdOcTxK
Hash 3: $2b$12$HmpVn4FtFI/I2W7Nv/p6pumSzrgB3vo/43dRkB9jOY88jxTbITgoS

¬øSon iguales? False
¬øSon iguales? False
¬øSon iguales? False

Pero TODOS verifican correctamente: True
Pero TODOS verifican correctamente: True
Pero TODOS verifican correctamente: True


### Funciones reutilizables para toda la app

In [26]:
# Funciones helper que usaremos en la app

def hash_password(password: str) -> str:
    """Hashea una contrase√±a."""
    return pwd_context.hash(password)

def verify_password(plain_password: str, hashed_password: str) -> bool:
    """Verifica si una contrase√±a coincide con su hash."""
    return pwd_context.verify(plain_password, hashed_password)

# Ejemplo de uso
hash_guardado = hash_password("secreto")
print(f"Hash guardado en BD: {hash_guardado}")
print(f"Contrase√±a 'secreto' es v√°lida: {verify_password('secreto', hash_guardado)}")
print(f"Contrase√±a 'incorrecto' es v√°lida: {verify_password('incorrecto', hash_guardado)}")

Hash guardado en BD: $2b$12$.hH73uHuc.sgCl2ztmikdOJQ3fYA0QY.x30Gjb.AoRaPjb8nlRrmy
Contrase√±a 'secreto' es v√°lida: True
Contrase√±a 'incorrecto' es v√°lida: False


---

## 3. GENERACI√ìN DE TOKENS JWT

### Configuraci√≥n necesaria

Para generar JWT necesitamos:
1. **SECRET_KEY:** Clave secreta para firmar tokens
2. **ALGORITHM:** Algoritmo de firma (HS256 es el m√°s com√∫n)
3. **ACCESS_TOKEN_EXPIRE_MINUTES:** Tiempo de vida del token

### ‚ö†Ô∏è IMPORTANTE: Variables de entorno en producci√≥n

**NUNCA** pongas SECRET_KEY en el c√≥digo en producci√≥n.

**Forma CORRECTA:**
```python
import os
SECRET_KEY = os.getenv("SECRET_KEY", "fallback-inseguro-solo-desarrollo")
```

**En el servidor:**
```bash
export SECRET_KEY="tu-clave-super-segura-generada-aleatoriamente"
# O usar un archivo .env con python-dotenv
```

Para este notebook educativo usaremos una clave hardcodeada.

In [27]:
# Configuraci√≥n de JWT
# ‚ö†Ô∏è SOLO PARA DESARROLLO/EDUCACI√ìN
# En producci√≥n: SECRET_KEY = os.getenv("SECRET_KEY")
SECRET_KEY = "mi-clave-super-secreta-que-nadie-debe-saber-12345"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

print("‚úÖ Configuraci√≥n JWT:")
print(f"  - Algoritmo: {ALGORITHM}")
print(f"  - Expiraci√≥n: {ACCESS_TOKEN_EXPIRE_MINUTES} minutos")
print("\n‚ö†Ô∏è En producci√≥n:")
print("  SECRET_KEY = os.getenv('SECRET_KEY')")
print("  Y configurar la variable de entorno en el servidor")

‚úÖ Configuraci√≥n JWT:
  - Algoritmo: HS256
  - Expiraci√≥n: 30 minutos

‚ö†Ô∏è En producci√≥n:
  SECRET_KEY = os.getenv('SECRET_KEY')
  Y configurar la variable de entorno en el servidor


### Estructura del Payload

El payload es el diccionario de datos que guardamos en el token:

| Campo | Descripci√≥n | Ejemplo |
|-------|-------------|----------|
| `sub` | Subject (identificador del usuario) | `"user123"` |
| `exp` | Expiration time (timestamp) | `1739226004` |
| `email` | Email del usuario (custom claim) | `"user@example.com"` |
| `role` | Rol del usuario (custom claim) | `"admin"` |

**Claims est√°ndar:**
- `sub`, `exp`, `iat` (issued at), `iss` (issuer), `aud` (audience)

**Claims personalizados:**
- Cualquier dato que necesites (email, roles, permisos, etc.)

### Funci√≥n para crear tokens

In [28]:
from datetime import timezone
# type hints 
def crear_access_token(data: dict, expires_delta: Optional[timedelta] = None) -> str:
    """
    Crea un token JWT.
    
    Args:
        data: Diccionario con los claims a incluir (ej: {"sub": "user123"})
        expires_delta: Tiempo de vida del token (opcional)
    
    Returns:
        Token JWT firmado
    """
    to_encode = data.copy()
    
    # Calcular tiempo de expiraci√≥n
    if expires_delta:
        expire = datetime.now(timezone.utc) + expires_delta # type: ignore
    else:
        expire = datetime.now(timezone.utc) + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES) # type: ignore
    
    # A√±adir expiraci√≥n al payload
    to_encode.update({"exp": expire})
    
    # Crear y firmar el token
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    
    return encoded_jwt

print("‚úÖ Funci√≥n crear_access_token definida")

‚úÖ Funci√≥n crear_access_token definida


### Ejemplo: Crear un token

In [29]:
# Datos del usuario
usuario_data = {
    "sub": "user123",
    "email": "user@example.com",
    "role": "admin"
}

# Crear token
token = crear_access_token(usuario_data)

print("üé´ Token generado:")
print(token)
print(f"\nLongitud: {len(token)} caracteres")

# Decodificar para ver contenido (sin verificar firma)
payload_decodificado = jwt.decode(token, options={"verify_signature": False})
print("\nüì¶ Contenido del token:")
for key, value in payload_decodificado.items():
    print(f"  - {key}: {value}")

üé´ Token generado:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyMTIzIiwiZW1haWwiOiJ1c2VyQGV4YW1wbGUuY29tIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxNzcxNTE0MjYzfQ.KC9rI-icaVTzaNcWeybWwJcPhY2E42FDjcpNfEFPhYI

Longitud: 183 caracteres

üì¶ Contenido del token:
  - sub: user123
  - email: user@example.com
  - role: admin
  - exp: 1771514263


### Funci√≥n para decodificar y validar tokens

In [30]:
def decodificar_token(token: str) -> dict:
    """
    Decodifica y valida un token JWT.
    
    Args:
        token: Token JWT a validar
    
    Returns:
        Payload del token si es v√°lido
    
    Raises:
        HTTPException: Si el token es inv√°lido o expirado
    """
    try:
        # Decodificar Y verificar firma
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except PyJWTError as e:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Token inv√°lido o expirado",
            headers={"WWW-Authenticate": "Bearer"},
        )

print("‚úÖ Funci√≥n decodificar_token definida")

‚úÖ Funci√≥n decodificar_token definida


### Ejemplo: Validar un token

In [31]:
# Crear token
token_valido = crear_access_token({"sub": "testuser"})

# Validar token correcto
try:
    payload = decodificar_token(token_valido)
    print("‚úÖ Token v√°lido:")
    print(f"  - Usuario: {payload.get('sub')}")
except HTTPException as e:
    print(f"‚ùå Error: {e.detail}")

# Intentar validar token inv√°lido
token_invalido = "token.falso.aqui"
try:
    decodificar_token(token_invalido)
except HTTPException as e:
    print(f"\n‚ùå Token inv√°lido rechazado: {e.detail}")

‚úÖ Token v√°lido:
  - Usuario: testuser

‚ùå Token inv√°lido rechazado: Token inv√°lido o expirado


### Micro-reto: Token expirado

In [32]:
# TODO: Crear un token que expire en 1 segundo
# Esperar 2 segundos e intentar validarlo
# Observa que jwt.decode lanza PyJWTError por expiraci√≥n

import time

# Crear token que expira en 1 segundo
token_corto = crear_access_token(
    {"sub": "usuario_temporal"},
    expires_delta=timedelta(seconds=1)
)

print("Token creado, esperando 2 segundos...")
time.sleep(2)

try:
    decodificar_token(token_corto)
    print("‚úÖ Token a√∫n v√°lido")
except HTTPException as e:
    print(f"‚ùå Token expirado: {e.detail}")

Token creado, esperando 2 segundos...
‚ùå Token expirado: Token inv√°lido o expirado


---

## 4. OAUTH2PASSWORDBEARER EN FASTAPI

### ¬øQu√© es OAuth2PasswordBearer?

`OAuth2PasswordBearer` es una dependencia de FastAPI que:
1. Lee el header `Authorization: Bearer <token>`
2. Extrae el token
3. Lo pasa a tu dependencia para validarlo

### Flujo completo

```
Cliente                    Servidor FastAPI
  ‚îÇ                              ‚îÇ
  ‚îÇ  POST /token                 ‚îÇ
  ‚îÇ  {username, password} ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚ñ∫  1. Validar credenciales
  ‚îÇ                              ‚îÇ  2. Generar JWT
  ‚îÇ  ‚óÑ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ {token}        ‚îÇ
  ‚îÇ                              ‚îÇ
  ‚îÇ  GET /usuarios/me            ‚îÇ
  ‚îÇ  Header: Bearer <token> ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚ñ∫  3. OAuth2PasswordBearer lee header
  ‚îÇ                              ‚îÇ  4. Validar token
  ‚îÇ  ‚óÑ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ‚îÄ {user_data}    ‚îÇ  5. Retornar datos
```

### Configuraci√≥n de OAuth2PasswordBearer

In [42]:
# Esquema de seguridad OAuth2
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

# tokenUrl="token" indica que el endpoint de login es POST /token
print("‚úÖ OAuth2PasswordBearer configurado")
print("  - El cliente debe enviar: Authorization: Bearer <token>")
print("  - El endpoint de login es: POST /token")

‚úÖ OAuth2PasswordBearer configurado
  - El cliente debe enviar: Authorization: Bearer <token>
  - El endpoint de login es: POST /token


### Base de datos de usuarios (fake)

En producci√≥n esto ser√≠a una base de datos real. Por ahora usamos un diccionario.

In [43]:
# Base de datos fake con usuarios
# En producci√≥n: usar PostgreSQL, MongoDB, etc.
FAKE_USERS_DB = {
    "john": {
        "username": "john",
        "email": "john@example.com",
        "hashed_password": hash_password("secret123"),  # Password: secret123
        "disabled": False
    },
    "alice": {
        "username": "alice",
        "email": "alice@example.com",
        "hashed_password": hash_password("alicepass"),  # Password: alicepass
        "disabled": False
    }
}

print("‚úÖ Base de datos de usuarios creada:")
for username in FAKE_USERS_DB.keys():
    print(f"  - {username}")

‚úÖ Base de datos de usuarios creada:
  - john
  - alice


### Modelos Pydantic para autenticaci√≥n

In [44]:
# Modelo para el token de respuesta
class Token(BaseModel):
    access_token: str
    token_type: str

# Modelo para datos del usuario
class User(BaseModel):
    username: str
    email: str
    disabled: bool = False

print("‚úÖ Modelos Pydantic definidos")

‚úÖ Modelos Pydantic definidos


### Endpoint POST /token (Login)

Este endpoint:
1. Recibe username y password en un formulario
2. Valida las credenciales
3. Genera y retorna un JWT

In [45]:
app = FastAPI()

@app.post("/token", response_model=Token)
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    """
    Endpoint de login que genera un token JWT.
    
    Recibe:
        - username (en formulario)
        - password (en formulario)
    
    Retorna:
        - access_token: JWT firmado
        - token_type: "bearer"
    """
    # 1. Buscar usuario en BD
    user = FAKE_USERS_DB.get(form_data.username)
    
    # 2. Validar que existe
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Usuario o contrase√±a incorrectos",
            headers={"WWW-Authenticate": "Bearer"},
        )
    
    # 3. Verificar contrase√±a
    if not verify_password(form_data.password, user["hashed_password"]):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Usuario o contrase√±a incorrectos",
            headers={"WWW-Authenticate": "Bearer"},
        )
    
    # 4. Generar token JWT
    access_token = crear_access_token(data={"sub": user["username"]})
    
    # 5. Retornar token
    return {"access_token": access_token, "token_type": "bearer"}

print("‚úÖ Endpoint POST /token definido")

‚úÖ Endpoint POST /token definido


### Prueba del endpoint /token

In [46]:
import uvicorn
import threading

client = TestClient(app)

# Login exitoso
response = client.post(
    "/token",
    data={"username": "john", "password": "secret123"}
)

assert response.status_code == 200
token_data = response.json()
print("‚úÖ Login exitoso:")
print(f"  - Token: {token_data['access_token'][:50]}...")
print(f"  - Tipo: {token_data['token_type']}")

# Login con contrase√±a incorrecta
response_fail = client.post(
    "/token",
    data={"username": "john", "password": "incorrecta"}
)
assert response_fail.status_code == 401
print("\n‚ùå Login fallido correctamente rechazado")

# Servidor
print("\n")
run_api(app, port=8004)

‚úÖ Login exitoso:
  - Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJqb...
  - Tipo: bearer

‚ùå Login fallido correctamente rechazado


üöÄ Servidor REINICIADO en http://127.0.0.1:8004
üìÑ Documentaci√≥n: http://127.0.0.1:8004/docs


### Micro-reto: Formulario vs JSON

OAuth2PasswordRequestForm espera datos como **formulario** (Content-Type: application/x-www-form-urlencoded), NO como JSON.

In [55]:
# TODO: Intenta enviar las credenciales como JSON en vez de formulario
# ¬øQu√© error recibes?

response_json = client.post(
    "/token",
    json={"username": "john", "password": "secret123"}  # ‚ùå Esto NO funciona
)

print(f"Status: {response_json.status_code}")
print(f"Error: {response_json.json()}")
print("\n‚ö†Ô∏è OAuth2 requiere Content-Type: application/x-www-form-urlencoded")

Status: 422
Error: {'detail': [{'type': 'missing', 'loc': ['body', 'username'], 'msg': 'Field required', 'input': None}, {'type': 'missing', 'loc': ['body', 'password'], 'msg': 'Field required', 'input': None}]}

‚ö†Ô∏è OAuth2 requiere Content-Type: application/x-www-form-urlencoded


---

## 5. PROTECCI√ìN DE RUTAS

### Dependencia: obtener_usuario_actual

Esta dependencia:
1. Recibe el token (v√≠a OAuth2PasswordBearer)
2. Lo decodifica y valida
3. Busca el usuario en la BD
4. Retorna el usuario o lanza 401

In [56]:
async def obtener_usuario_actual(token: str = Depends(oauth2_scheme)) -> User:
    """
    Dependencia que valida el token y retorna el usuario actual.
    
    Args:
        token: Token JWT extra√≠do del header Authorization
    
    Returns:
        Usuario autenticado
    
    Raises:
        HTTPException 401: Si el token es inv√°lido o el usuario no existe
    """
    # 1. Decodificar token
    payload = decodificar_token(token)
    
    # 2. Extraer username del payload
    username: str = payload.get("sub")
    if username is None:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Token inv√°lido",
            headers={"WWW-Authenticate": "Bearer"},
        )
    
    # 3. Buscar usuario en BD
    user_dict = FAKE_USERS_DB.get(username)
    if user_dict is None:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Usuario no encontrado",
            headers={"WWW-Authenticate": "Bearer"},
        )
    
    # 4. Retornar usuario
    return User(**user_dict)

# Tipo reutilizable
CurrentUserDep = Annotated[User, Depends(obtener_usuario_actual)]

print("‚úÖ Dependencia obtener_usuario_actual definida")

‚úÖ Dependencia obtener_usuario_actual definida


### Endpoint protegido: GET /usuarios/me

In [57]:
@app.get("/usuarios/me", response_model=User)
async def obtener_mi_perfil(current_user: CurrentUserDep):
    """
    Endpoint protegido que retorna el perfil del usuario autenticado.
    
    Requiere:
        - Header: Authorization: Bearer <token>
    
    Retorna:
        - Datos del usuario actual
    """
    return current_user

print("‚úÖ Endpoint GET /usuarios/me definido (protegido)")

‚úÖ Endpoint GET /usuarios/me definido (protegido)


### Prueba: Acceso con token v√°lido

In [62]:
# 1. Login para obtener token
response_login = client.post(
    "/token",
    data={"username": "john", "password": "secret123"}
)
token = response_login.json()["access_token"]

# 2. Acceder a endpoint protegido con token
response_perfil = client.get(
    "/usuarios/me",
    headers={"Authorization": f"Bearer {token}"}
)

assert response_perfil.status_code == 200
user_data = response_perfil.json()
print("‚úÖ Acceso autorizado:")
print(f"  - Usuario: {user_data['username']}")
print(f"  - Email: {user_data['email']}")

run_api(app)

‚úÖ Acceso autorizado:
  - Usuario: john
  - Email: john@example.com
üöÄ Servidor REINICIADO en http://127.0.0.1:8000
üìÑ Documentaci√≥n: http://127.0.0.1:8000/docs


### Prueba: Acceso SIN token

In [59]:
# Intento sin header Authorization
response_sin_token = client.get("/usuarios/me")

assert response_sin_token.status_code == 401
print("‚ùå Acceso denegado (sin token):")
print(f"  - Status: {response_sin_token.status_code}")
print(f"  - Detail: {response_sin_token.json()['detail']}")

‚ùå Acceso denegado (sin token):
  - Status: 401
  - Detail: Not authenticated


### Prueba: Acceso con token inv√°lido

In [60]:
# Intento con token falso
response_token_falso = client.get(
    "/usuarios/me",
    headers={"Authorization": "Bearer token-falso-123"}
)

assert response_token_falso.status_code == 401
print("‚ùå Acceso denegado (token inv√°lido):")
print(f"  - Status: {response_token_falso.status_code}")
print(f"  - Detail: {response_token_falso.json()['detail']}")

app.openapi_schema = None
run_api(app)

‚ùå Acceso denegado (token inv√°lido):
  - Status: 401
  - Detail: Token inv√°lido o expirado
üöÄ Servidor REINICIADO en http://127.0.0.1:8000
üìÑ Documentaci√≥n: http://127.0.0.1:8000/docs


### Endpoints p√∫blicos vs protegidos

No todos los endpoints necesitan autenticaci√≥n.

In [53]:
# Endpoint p√∫blico (sin dependencia de autenticaci√≥n)
@app.get("/")
async def root():
    return {"mensaje": "API p√∫blica"}

# Endpoint protegido (con CurrentUserDep)
@app.get("/privado")
async def privado(current_user: CurrentUserDep):
    return {"mensaje": "Datos privados", "usuario": current_user.username}

# Pruebas
print("‚úÖ Acceso p√∫blico (sin token):")
response_public = client.get("/")
print(f"  - Status: {response_public.status_code}")

print("\n‚ùå Acceso privado (sin token):")
response_private_no_token = client.get("/privado")
print(f"  - Status: {response_private_no_token.status_code}")

print("\n‚úÖ Acceso privado (con token):")
response_private_with_token = client.get(
    "/privado",
    headers={"Authorization": f"Bearer {token}"}
)
print(f"  - Status: {response_private_with_token.status_code}")
print(f"  - Data: {response_private_with_token.json()}")

‚úÖ Acceso p√∫blico (sin token):
  - Status: 200

‚ùå Acceso privado (sin token):
  - Status: 401

‚úÖ Acceso privado (con token):
  - Status: 200
  - Data: {'mensaje': 'Datos privados', 'usuario': 'john'}


---

### Endpoint de Registro: POST /register

**Completando el ciclo:** Hasta ahora solo podemos loguearnos con usuarios hardcodeados (john, alice).

Necesitamos un endpoint donde los usuarios puedan **registrarse** enviando su password en texto plano, y nosotros la guardamos hasheada.

In [54]:
# Modelo para registro
class UserRegister(BaseModel):
    username: str
    email: str
    password: str  # ‚ö†Ô∏è Viene en texto plano, la hashearemos

@app.post("/register", response_model=User)
async def registrar_usuario(user_data: UserRegister):
    """
    Endpoint de registro de nuevos usuarios.
    
    Recibe:
        - username: Nombre de usuario √∫nico
        - email: Email del usuario
        - password: Contrase√±a en texto plano
    
    Retorna:
        - Datos del usuario creado (sin la contrase√±a)
    """
    # 1. Validar que el usuario no existe
    if user_data.username in FAKE_USERS_DB:
        raise HTTPException(
            status_code=status.HTTP_400_BAD_REQUEST,
            detail="El usuario ya existe"
        )
    
    # 2. Hashear la contrase√±a
    hashed_password = hash_password(user_data.password)
    
    # 3. Guardar usuario en BD (fake)
    FAKE_USERS_DB[user_data.username] = {
        "username": user_data.username,
        "email": user_data.email,
        "hashed_password": hashed_password,
        "disabled": False
    }
    
    # 4. Retornar usuario creado (sin password)
    return User(
        username=user_data.username,
        email=user_data.email,
        disabled=False
    )

print("‚úÖ Endpoint POST /register definido")

‚úÖ Endpoint POST /register definido


### Prueba del endpoint /register

In [None]:
# Registrar nuevo usuario
# Limpiamos la DB para que la prueba siempre funcione desde cero
FAKE_USERS_DB.clear() 
response_register = client.post(
    "/register",
    json={
        "username": "bob",
        "email": "bob@example.com",
        "password": "bobsecret123"
    }
)

assert response_register.status_code == 200
user_created = response_register.json()
print("‚úÖ Usuario registrado:")
print(f"  - Username: {user_created['username']}")
print(f"  - Email: {user_created['email']}")

# Intentar registrar usuario duplicado
response_duplicate = client.post(
    "/register",
    json={
        "username": "bob",
        "email": "otro@example.com",
        "password": "otra"
    }
)
assert response_duplicate.status_code == 400
print("\n‚ùå Usuario duplicado rechazado correctamente")

# Probar login con usuario reci√©n registrado
response_login_bob = client.post(
    "/token",
    data={"username": "bob", "password": "bobsecret123"}
)
assert response_login_bob.status_code == 200
print("\n‚úÖ Login exitoso con usuario reci√©n registrado")
print(f"  - Token generado: {response_login_bob.json()['access_token'][:30]}...")

app.openapi_schema = None
run_api(app, port=8005)

üöÄ Servidor REINICIADO en http://127.0.0.1:8005
üìÑ Documentaci√≥n: http://127.0.0.1:8005/docs


### Flujo completo: Register ‚Üí Login ‚Üí Acceso protegido

In [36]:
# FLUJO COMPLETO: Usuario nuevo desde cero

print("üîê FLUJO COMPLETO DE AUTENTICACI√ìN\n")

# 1. REGISTRO
print("1Ô∏è‚É£ REGISTRO")
response_reg = client.post(
    "/register",
    json={
        "username": "charlie",
        "email": "charlie@example.com",
        "password": "charlie123"
    }
)
print(f"   Status: {response_reg.status_code}")
print(f"   Usuario: {response_reg.json()['username']}\n")

# 2. LOGIN
print("2Ô∏è‚É£ LOGIN")
response_log = client.post(
    "/token",
    data={"username": "charlie", "password": "charlie123"}
)
token_charlie = response_log.json()["access_token"]
print(f"   Status: {response_log.status_code}")
print(f"   Token: {token_charlie[:40]}...\n")

# 3. ACCESO A RUTA PROTEGIDA
print("3Ô∏è‚É£ ACCESO A RUTA PROTEGIDA")
response_me = client.get(
    "/usuarios/me",
    headers={"Authorization": f"Bearer {token_charlie}"}
)
print(f"   Status: {response_me.status_code}")
print(f"   Usuario autenticado: {response_me.json()['username']}")
print(f"   Email: {response_me.json()['email']}")

print("\n‚úÖ Flujo completo exitoso: Register ‚Üí Login ‚Üí Acceso protegido")

# run_api(app, port = 8003)

üîê FLUJO COMPLETO DE AUTENTICACI√ìN

1Ô∏è‚É£ REGISTRO
   Status: 200
   Usuario: charlie

2Ô∏è‚É£ LOGIN
   Status: 200
   Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ...

3Ô∏è‚É£ ACCESO A RUTA PROTEGIDA
   Status: 200
   Usuario autenticado: charlie
   Email: charlie@example.com

‚úÖ Flujo completo exitoso: Register ‚Üí Login ‚Üí Acceso protegido


### Resumen del flujo completo

```python
# 1. REGISTRO (hash de password)
@app.post("/register")
def register(user_data: UserRegister):
    hashed = hash_password(user_data.password)
    # Guardar en BD: user.hashed_password = hashed
    return user

# 2. LOGIN (verificar password y generar JWT)
@app.post("/token")
def login(form_data: OAuth2PasswordRequestForm):
    user = get_user(form_data.username)
    if not verify_password(form_data.password, user.hashed_password):
        raise HTTPException(401)
    token = crear_access_token({"sub": user.username})
    return {"access_token": token}

# 3. ACCESO A RUTAS PROTEGIDAS (validar JWT)
@app.get("/usuarios/me")
def perfil(current_user: CurrentUserDep):  # ‚Üê Dependencia valida token
    return current_user
```