# EJERCICIOS - SESI√ìN 3: Seguridad y Autenticaci√≥n

**Objetivo:** Practicar la implementaci√≥n de autenticaci√≥n segura con OAuth2, JWT y bcrypt.

**Instrucciones:**
- Completa los 10 ejercicios en orden
- Lee el contexto antes de cada ejercicio
- Completa los bloques marcados con `# TODO`
- Ejecuta las celdas para verificar tu soluci√≥n

## CONFIGURACI√ìN DEL ENTORNO

In [None]:
# Instalaci√≥n de dependencias
!pip install fastapi==0.115.0 uvicorn[standard]==0.32.0 passlib[bcrypt]==1.7.4 PyJWT==2.8.0 python-multipart==0.0.6 -q
print("‚úÖ Dependencias instaladas")

In [None]:
# Imports necesarios
from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from fastapi.testclient import TestClient
from passlib.context import CryptContext
import jwt
from jwt.exceptions import PyJWTError
from datetime import datetime, timedelta
from typing import Annotated, Optional
from pydantic import BaseModel

print("‚úÖ Imports completados")

---

## EJERCICIO 1: Hash de password con bcrypt

**Contexto:** La primera l√≠nea de defensa en seguridad es nunca guardar contrase√±as en texto plano.

**Objetivo:** Configurar `passlib` con bcrypt y hashear una contrase√±a.

In [None]:
# TODO: Crea un contexto de hashing con CryptContext
# Usa el esquema "bcrypt"
pwd_context = None  # Reemplaza None

# TODO: Hashea la contrase√±a "mi_password_seguro"
password_original = "mi_password_seguro"
password_hash = None  # Usa pwd_context.hash()

# Verificaci√≥n
assert pwd_context is not None, "‚ùå Falta configurar pwd_context"
assert password_hash is not None, "‚ùå Falta hashear la contrase√±a"
assert password_hash != password_original, "‚ùå El hash no puede ser igual a la contrase√±a"
assert len(password_hash) > 50, "‚ùå El hash de bcrypt debe ser largo"
print("‚úÖ Ejercicio 1 completado")
print(f"Hash generado: {password_hash}")

---

## EJERCICIO 2: Verificar password contra hash

**Contexto:** Para validar un login, debemos verificar si la contrase√±a ingresada coincide con el hash guardado.

**Objetivo:** Usar `pwd_context.verify()` para comprobar passwords.

In [None]:
# Hash de ejemplo (password: "secret123")
hash_guardado = pwd_context.hash("secret123")

# TODO: Verifica si "secret123" coincide con hash_guardado
password_correcta = None  # Usa pwd_context.verify()

# TODO: Verifica si "otra_password" coincide con hash_guardado
password_incorrecta = None  # Usa pwd_context.verify()

# Verificaci√≥n
assert password_correcta == True, "‚ùå 'secret123' deber√≠a ser v√°lida"
assert password_incorrecta == False, "‚ùå 'otra_password' deber√≠a ser inv√°lida"
print("‚úÖ Ejercicio 2 completado")
print(f"Password correcta v√°lida: {password_correcta}")
print(f"Password incorrecta rechazada: {password_incorrecta}")

---

## EJERCICIO 3: Generar JWT con payload personalizado

**Contexto:** Los JWT contienen claims (datos) sobre el usuario y una fecha de expiraci√≥n.

**Objetivo:** Crear un token JWT con claims personalizados usando PyJWT.

In [None]:
# Configuraci√≥n JWT
SECRET_KEY = "clave-secreta-ejercicio"
ALGORITHM = "HS256"

# TODO: Crea un payload con:
# - "sub": "usuario123"
# - "email": "usuario@example.com"
# - "role": "admin"
# - "exp": datetime.utcnow() + timedelta(minutes=30)
payload = {
    # Completa aqu√≠
}

# TODO: Genera el token JWT
# Usa jwt.encode(payload, SECRET_KEY, algorithm=ALGORITHM)
token = None

# Verificaci√≥n
assert "sub" in payload, "‚ùå Falta el campo 'sub'"
assert "email" in payload, "‚ùå Falta el campo 'email'"
assert "exp" in payload, "‚ùå Falta el campo 'exp'"
assert token is not None, "‚ùå Falta generar el token"
assert isinstance(token, str), "‚ùå El token debe ser un string"
print("‚úÖ Ejercicio 3 completado")
print(f"Token generado: {token[:50]}...")

---

## EJERCICIO 4: Decodificar y validar JWT

**Contexto:** Al recibir un token, debemos verificar su firma y extraer los datos.

**Objetivo:** Decodificar un JWT y manejar tokens inv√°lidos.

In [None]:
# Token de prueba (generado en ejercicio anterior)
token_valido = jwt.encode(
    {"sub": "testuser", "exp": datetime.utcnow() + timedelta(minutes=5)},
    SECRET_KEY,
    algorithm=ALGORITHM
)

# TODO: Decodifica el token y extrae el payload
# Usa jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
try:
    payload_decodificado = None  # Decodifica aqu√≠
    usuario = None  # Extrae payload.get("sub")
    print(f"‚úÖ Token v√°lido. Usuario: {usuario}")
except PyJWTError:
    print("‚ùå Token inv√°lido")

# TODO: Intenta decodificar un token FALSO
token_falso = "token.falso.aqui"
try:
    jwt.decode(token_falso, SECRET_KEY, algorithms=[ALGORITHM])
    token_falso_rechazado = False
except PyJWTError:
    token_falso_rechazado = True
    print("‚úÖ Token falso correctamente rechazado")

# Verificaci√≥n
assert payload_decodificado is not None, "‚ùå Falta decodificar el token"
assert usuario == "testuser", "‚ùå No se extrajo correctamente el usuario"
assert token_falso_rechazado == True, "‚ùå El token falso deber√≠a ser rechazado"
print("\n‚úÖ Ejercicio 4 completado")

---

## EJERCICIO 5: Endpoint POST /token (login)

**Contexto:** El endpoint de login recibe credenciales y retorna un JWT si son v√°lidas.

**Objetivo:** Implementar el flujo completo de autenticaci√≥n.

In [None]:
app = FastAPI()

# Base de datos fake
USERS_DB = {
    "admin": {
        "username": "admin",
        "email": "admin@example.com",
        "hashed_password": pwd_context.hash("admin123")
    }
}

# Modelo de respuesta
class Token(BaseModel):
    access_token: str
    token_type: str

# TODO: Implementa el endpoint POST /token
@app.post("/token", response_model=Token)
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    # 1. Buscar usuario en USERS_DB
    user = None  # USERS_DB.get(form_data.username)
    
    # 2. Si no existe, lanzar HTTPException 401
    # TODO: Completa aqu√≠
    
    # 3. Verificar password con pwd_context.verify()
    # TODO: Si es incorrecta, lanzar HTTPException 401
    
    # 4. Generar token JWT
    token = None  # jwt.encode(...)
    
    # 5. Retornar token
    return {"access_token": token, "token_type": "bearer"}

# Pruebas
client = TestClient(app)

# Login exitoso
response = client.post("/token", data={"username": "admin", "password": "admin123"})
assert response.status_code == 200, "‚ùå Login deber√≠a ser exitoso"
assert "access_token" in response.json(), "‚ùå Falta el campo access_token"
print("‚úÖ Login exitoso")

# Login fallido
response_fail = client.post("/token", data={"username": "admin", "password": "incorrecta"})
assert response_fail.status_code == 401, "‚ùå Password incorrecta deber√≠a retornar 401"
print("‚úÖ Password incorrecta rechazada")

print("\n‚úÖ Ejercicio 5 completado")

---

## EJERCICIO 6: OAuth2PasswordBearer b√°sico

**Contexto:** OAuth2PasswordBearer extrae el token del header `Authorization: Bearer <token>`.

**Objetivo:** Configurar el esquema OAuth2 y crear una ruta protegida simple.

In [None]:
# TODO: Configura OAuth2PasswordBearer con tokenUrl="token"
oauth2_scheme = None  # OAuth2PasswordBearer(...)

# TODO: Crea un endpoint GET /protegido que requiera el token
# Debe recibir: token: str = Depends(oauth2_scheme)
# Y retornar: {"mensaje": "Acceso autorizado", "token": token[:20]}
@app.get("/protegido")
async def ruta_protegida(token: str = None):  # Reemplaza None con Depends
    # TODO: Completa aqu√≠
    pass

# Pruebas
# Login primero
response_login = client.post("/token", data={"username": "admin", "password": "admin123"})
token = response_login.json()["access_token"]

# Acceso sin token
response_no_token = client.get("/protegido")
assert response_no_token.status_code == 401, "‚ùå Sin token deber√≠a retornar 401"
print("‚úÖ Acceso sin token rechazado")

# Acceso con token
response_with_token = client.get("/protegido", headers={"Authorization": f"Bearer {token}"})
assert response_with_token.status_code == 200, "‚ùå Con token deber√≠a retornar 200"
print("‚úÖ Acceso con token autorizado")

print("\n‚úÖ Ejercicio 6 completado")

---

## EJERCICIO 7: Dependencia obtener_usuario_actual()

**Contexto:** Esta dependencia decodifica el token, extrae el username y busca al usuario en la BD.

**Objetivo:** Crear una dependencia reutilizable para validar tokens.

In [None]:
# Modelo de usuario
class User(BaseModel):
    username: str
    email: str

# TODO: Implementa la dependencia obtener_usuario_actual
async def obtener_usuario_actual(token: str = Depends(oauth2_scheme)) -> User:
    """
    Valida el token y retorna el usuario.
    
    Pasos:
    1. Decodificar token con jwt.decode()
    2. Extraer username del payload (payload.get("sub"))
    3. Buscar usuario en USERS_DB
    4. Si el token es inv√°lido o el usuario no existe, lanzar HTTPException 401
    5. Retornar User(**user_dict)
    """
    try:
        # TODO: 1. Decodificar token
        payload = None
        
        # TODO: 2. Extraer username
        username = None
        
        # TODO: 3. Buscar en BD
        user_dict = None
        
        # TODO: 4. Validar que existe
        if user_dict is None:
            pass  # Lanzar HTTPException 401
        
        # TODO: 5. Retornar usuario
        return None
    except PyJWTError:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Token inv√°lido",
            headers={"WWW-Authenticate": "Bearer"},
        )

# Tipo reutilizable
CurrentUser = Annotated[User, Depends(obtener_usuario_actual)]

# Endpoint de prueba
@app.get("/test-user", response_model=User)
async def test_user(current_user: CurrentUser):
    return current_user

# Pruebas
response_user = client.get("/test-user", headers={"Authorization": f"Bearer {token}"})
assert response_user.status_code == 200, "‚ùå Deber√≠a retornar 200 con token v√°lido"
assert response_user.json()["username"] == "admin", "‚ùå Username incorrecto"
print("‚úÖ Usuario extra√≠do correctamente del token")

print("\n‚úÖ Ejercicio 7 completado")

---

## EJERCICIO 8: Endpoint protegido GET /usuarios/me

**Contexto:** Este es el patr√≥n m√°s com√∫n: un endpoint que retorna datos del usuario autenticado.

**Objetivo:** Usar la dependencia `CurrentUser` para proteger un endpoint.

In [None]:
# TODO: Implementa GET /usuarios/me
# Debe recibir: current_user: CurrentUser
# Y retornar: current_user
@app.get("/usuarios/me", response_model=User)
async def obtener_mi_perfil(current_user: CurrentUser):
    # TODO: Retorna el usuario actual
    pass

# Pruebas
# Acceso SIN token
response_sin_token = client.get("/usuarios/me")
assert response_sin_token.status_code == 401, "‚ùå Sin token deber√≠a ser 401"
print("‚úÖ Acceso sin token denegado")

# Acceso CON token
response_con_token = client.get("/usuarios/me", headers={"Authorization": f"Bearer {token}"})
assert response_con_token.status_code == 200, "‚ùå Con token deber√≠a ser 200"
user_data = response_con_token.json()
assert user_data["username"] == "admin", "‚ùå Username incorrecto"
assert user_data["email"] == "admin@example.com", "‚ùå Email incorrecto"
print("‚úÖ Perfil del usuario obtenido correctamente")

print("\n‚úÖ Ejercicio 8 completado")

---

## EJERCICIO 9: Manejo de token expirado (401)

**Contexto:** Los tokens JWT tienen fecha de expiraci√≥n. Debemos manejar correctamente tokens caducados.

**Objetivo:** Verificar que tokens expirados son rechazados con 401.

In [None]:
import time

# TODO: Crea un token que expire en 1 segundo
# Usa jwt.encode() con exp = datetime.utcnow() + timedelta(seconds=1)
payload_corto = {
    "sub": "admin",
    "exp": None  # A√±ade expiraci√≥n de 1 segundo
}
token_corto = None  # jwt.encode(...)

# Verificar que funciona ANTES de expirar
response_valido = client.get("/usuarios/me", headers={"Authorization": f"Bearer {token_corto}"})
assert response_valido.status_code == 200, "‚ùå Token deber√≠a ser v√°lido inicialmente"
print("‚úÖ Token v√°lido antes de expirar")

# TODO: Espera 2 segundos
print("Esperando 2 segundos para que expire...")
time.sleep(2)

# TODO: Verifica que el token expirado es rechazado
response_expirado = None  # client.get("/usuarios/me", ...)

# Verificaci√≥n
assert token_corto is not None, "‚ùå Falta generar el token"
# Descomenta cuando implementes:
# assert response_expirado.status_code == 401, "‚ùå Token expirado deber√≠a retornar 401"
# print("‚úÖ Token expirado correctamente rechazado")

print("\n‚úÖ Ejercicio 9 completado")

---

## EJERCICIO 10: Sistema completo: Register + Login + Perfil protegido

**Contexto:** Integraci√≥n completa del flujo de autenticaci√≥n desde el registro hasta el acceso a rutas protegidas.

**Objetivo:** Implementar el endpoint de registro y probar el ciclo completo.

In [None]:
# Modelo para registro
class UserRegister(BaseModel):
    username: str
    email: str
    password: str

# TODO: Implementa POST /register
@app.post("/register", response_model=User)
async def registrar_usuario(user_data: UserRegister):
    """
    Registra un nuevo usuario.
    
    Pasos:
    1. Validar que el username no existe en USERS_DB
    2. Hashear la contrase√±a con pwd_context.hash()
    3. Guardar usuario en USERS_DB
    4. Retornar User (sin la password)
    """
    # TODO: 1. Validar usuario no existe
    if user_data.username in USERS_DB:
        pass  # Lanzar HTTPException 400
    
    # TODO: 2. Hashear password
    hashed_password = None
    
    # TODO: 3. Guardar en BD
    USERS_DB[user_data.username] = {
        # Completa aqu√≠
        # Aseg√∫rate de usar las mismas claves que el modelo User (username, email, hashed_password)
    }
    
    # TODO: 4. Retornar usuario
    return None

# FLUJO COMPLETO DE PRUEBA
print("üîê FLUJO COMPLETO: Register ‚Üí Login ‚Üí Perfil\n")

# 1. REGISTRO
print("1Ô∏è‚É£ Registrando usuario 'testuser'...")
response_register = client.post(
    "/register",
    json={"username": "testuser", "email": "test@example.com", "password": "testpass123"}
)
assert response_register.status_code == 200, "‚ùå Registro deber√≠a ser exitoso"
print(f"   ‚úÖ Usuario registrado: {response_register.json()['username']}")

# 2. LOGIN
print("\n2Ô∏è‚É£ Login con usuario reci√©n registrado...")
response_login = client.post(
    "/token",
    data={"username": "testuser", "password": "testpass123"}
)
assert response_login.status_code == 200, "‚ùå Login deber√≠a ser exitoso"
new_token = response_login.json()["access_token"]
print(f"   ‚úÖ Token obtenido: {new_token[:40]}...")

# 3. ACCESO A PERFIL
print("\n3Ô∏è‚É£ Accediendo a perfil protegido...")
response_perfil = client.get(
    "/usuarios/me",
    headers={"Authorization": f"Bearer {new_token}"}
)
assert response_perfil.status_code == 200, "‚ùå Acceso a perfil deber√≠a ser exitoso"
perfil = response_perfil.json()
print(f"   ‚úÖ Perfil obtenido: {perfil['username']} ({perfil['email']})")

# 4. USUARIO DUPLICADO
print("\n4Ô∏è‚É£ Intentando registrar usuario duplicado...")
response_duplicate = client.post(
    "/register",
    json={"username": "testuser", "email": "otro@example.com", "password": "otra"}
)
assert response_duplicate.status_code == 400, "‚ùå Usuario duplicado deber√≠a retornar 400"
print("   ‚úÖ Usuario duplicado rechazado correctamente")

print("\n" + "="*50)
print("‚úÖ EJERCICIO 10 COMPLETADO")
print("‚úÖ TODOS LOS EJERCICIOS FINALIZADOS")
print("="*50)