# üìå **Autenticaci√≥n con Tokens JWT (SimpleJWT para manejar sesiones seguras)**  

El objetivo de este tema es que aprendas a manejar **autenticaci√≥n segura** en Django usando **JSON Web Tokens (JWT)** con la librer√≠a **SimpleJWT**.  

---

## üîπ **1. ¬øQu√© es JWT y por qu√© usarlo?**  

### üîç **JSON Web Token (JWT)**  
JWT es un est√°ndar de autenticaci√≥n basado en **tokens**, lo que permite a los usuarios iniciar sesi√≥n y recibir un token que luego env√≠an en cada petici√≥n para identificarse.  

### üìå **Ventajas de JWT frente a sesiones tradicionales**  
‚úîÔ∏è **Sin almacenamiento en servidor:** No es necesario guardar sesiones en la base de datos.  
‚úîÔ∏è **M√°s seguro:** Se puede verificar sin necesidad de hacer una consulta a la base de datos en cada solicitud.  
‚úîÔ∏è **Compatible con frontend y apps m√≥viles:** Ideal para **React, Angular, Vue, Flutter, etc.**  

---

## üîπ **2. Instalando SimpleJWT**  

Ejecutamos el siguiente comando:  

```bash
pip install djangorestframework-simplejwt
```

Luego, en `settings.py`, agregamos la configuraci√≥n para usar SimpleJWT:  

```python
from datetime import timedelta

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}

SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=30),  # Expira en 30 minutos
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),  # Expira en 1 d√≠a
    'ROTATE_REFRESH_TOKENS': True,
    'BLACKLIST_AFTER_ROTATION': True,
}
```

üìå **¬øQu√© hacen estas opciones?**  
‚úîÔ∏è `ACCESS_TOKEN_LIFETIME`: Define cu√°nto dura un token antes de expirar.  
‚úîÔ∏è `REFRESH_TOKEN_LIFETIME`: Define cu√°nto dura el token de refresco para pedir un nuevo token.  
‚úîÔ∏è `ROTATE_REFRESH_TOKENS`: Si es `True`, cada vez que se usa un **refresh token**, se genera uno nuevo.  
‚úîÔ∏è `BLACKLIST_AFTER_ROTATION`: Evita que un refresh token viejo sea reutilizado.  

---

## üîπ **3. Creando las rutas para autenticaci√≥n JWT**  

En `urls.py`, agregamos las rutas para obtener y refrescar tokens:  

```python
from django.urls import path
from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
)

urlpatterns = [
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),  # Obtener token
    path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),  # Refrescar token
]
```

üìå **¬øC√≥mo funcionan estas rutas?**  

1Ô∏è‚É£ `POST /api/token/` ‚Üí Devuelve un token de acceso y un refresh token.  
2Ô∏è‚É£ `POST /api/token/refresh/` ‚Üí Usa el refresh token para obtener un nuevo token de acceso.  

---

## üîπ **4. Probando la autenticaci√≥n JWT**  

### üìç **Obteniendo un token**  

Enviamos una solicitud `POST` a `http://127.0.0.1:8000/api/token/` con el usuario y contrase√±a:  

```json
{
    "username": "admin",
    "password": "123456"
}
```

üìå **Respuesta esperada:**  

```json
{
    "refresh": "eyJhbGciOiJIUzI1NiIs...",
    "access": "eyJhbGciOiJIUzI1NiIs..."
}
```

üìå **¬øC√≥mo usarlo?**  
Para acceder a las rutas protegidas, enviamos el token en los headers:  

```
Authorization: Bearer <TOKEN>
```

---

## üîπ **5. Protegiendo vistas con autenticaci√≥n JWT**  

Si queremos que solo usuarios autenticados accedan a ciertas vistas, usamos `IsAuthenticated`.  

üìç **Ejemplo en `views.py`:**  

```python
from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView
from rest_framework.response import Response

class VistaProtegida(APIView):
    permission_classes = [IsAuthenticated]

    def get(self, request):
        return Response({"mensaje": "¬°Est√°s autenticado!"})
```

üìç **Registramos la ruta en `urls.py`:**  

```python
from django.urls import path
from .views import VistaProtegida

urlpatterns = [
    path('api/protegido/', VistaProtegida.as_view(), name='vista_protegida'),
]
```

üìå **Si intentamos acceder sin token (http://127.0.0.1:8000/api/protegido/), la API responder√° con:**  

```json
{
    "detail": "Las credenciales de autenticaci√≥n no se proporcionaron."
}
```

Pero si enviamos el token en los headers, podremos acceder.  

---

## üîπ **6. Logout con Blacklist (Opcional pero recomendado)**  

Por defecto, Django REST Framework no **invalida** un token cuando un usuario cierra sesi√≥n. Para eso, usamos un sistema de **Blacklist**.  

üìç **Paso 1: Agregamos `rest_framework_simplejwt.token_blacklist` a `INSTALLED_APPS` en `settings.py`**  

```python
INSTALLED_APPS = [
    'rest_framework',
    'rest_framework_simplejwt.token_blacklist',
]
```

üìç **Paso 2: Ejecutamos la migraci√≥n**  

```bash
python manage.py migrate
```

üìç **Paso 3: Creamos una vista para hacer logout (`views.py`)**  

```python
from rest_framework_simplejwt.tokens import RefreshToken
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.permissions import IsAuthenticated

class LogoutView(APIView):
    permission_classes = [IsAuthenticated]

    def post(self, request):
        try:
            refresh_token = request.data["refresh"]
            token = RefreshToken(refresh_token)
            token.blacklist()
            return Response({"mensaje": "Sesi√≥n cerrada correctamente."})
        except Exception as e:
            return Response({"error": "Token inv√°lido."}, status=400)
```

üìç **Paso 4: Agregamos la ruta en `urls.py`**  

```python
from .views import LogoutView

urlpatterns += [
    path('api/logout/', LogoutView.as_view(), name='logout'),
]
```

üìå **Flujo del logout:**  
‚úîÔ∏è El usuario env√≠a su `refresh_token` a `POST /api/logout/`.  
‚úîÔ∏è Django lo agrega a la lista negra, impidiendo su reutilizaci√≥n.  

---

## ‚úÖ **Resumen del flujo de trabajo con SimpleJWT**  

1Ô∏è‚É£ Instalamos **SimpleJWT** y lo configuramos en `settings.py`.  
2Ô∏è‚É£ Creamos las rutas para **obtener y refrescar tokens**.  
3Ô∏è‚É£ Protegemos vistas con `IsAuthenticated`.  
4Ô∏è‚É£ Implementamos **logout con blacklist** para invalidar tokens.  