# CLASE 1: Fundamentos de autenticaci√≥n y generaci√≥n de JWT

## Objetivos de Aprendizaje

* Comprender el flujo de autenticaci√≥n en sistemas reales.
* Implementar autenticaci√≥n b√°sica con tokens JWT en una API REST.
* Aplicar principios de seguridad y calidad de c√≥digo al trabajar con credenciales y tokens.

---


## Estructura de la clase (4 horas)

| Hora | Tema                                                      |
| ---- | --------------------------------------------------------- |
| 1    | Introducci√≥n a JWT y fundamentos de autenticaci√≥n         |
| 2    | Instalaci√≥n, generaci√≥n y verificaci√≥n de tokens          |
| 3    | Simulaci√≥n de login y validaci√≥n de expiraci√≥n            |
| 4    | Refactor de controladores y rutas protegidas              |
| 5    | Proyecto en clase: API con login + JWT                    |
| 6    | Validaciones, pruebas con errores y refuerzo de seguridad |

---


## Contenidos Detallados

### 1. ¬øQu√© es un token JWT y c√≥mo funciona?


* **JWT (JSON Web Token)**: est√°ndar abierto ([RFC 7519](https://datatracker.ietf.org/doc/html/rfc7519)) que define una forma compacta y segura de transmitir informaci√≥n entre partes como un objeto JSON.
* **Estructura**:
  `header.payload.signature` (codificados en Base64URL).
* **Ventajas**:

  * Stateless
  * Escalable
  * Seguro si se aplica correctamente
* **Uso com√∫n**:

  * Autenticaci√≥n (Auth)
  * Autorizaci√≥n (Access Control)

> **Buenas pr√°cticas**: Usar algoritmos robustos como HS256 o RS256. Evitar JWT sin expiraci√≥n.

---


### 2. Instalaci√≥n y uso de `python-jose` y `passlib`



pip install python-jose[cryptography] passlib[bcrypt] fastapi uvicorn pydantic

* **python-jose**: para crear/verificar tokens JWT
* **passlib**: para hash seguro de contrase√±as


#### Funci√≥n B√°sica para generar un token

In [None]:
# Importa la librer√≠a 'jwt' del paquete 'python-jose',
# usada para codificar y decodificar tokens JWT (JSON Web Tokens)
from jose import jwt

# Importa utilidades de la librer√≠a est√°ndar 'datetime':
# - datetime: para obtener la fecha y hora actuales
# - timedelta: para sumar o restar tiempo
# - timezone: para establecer zonas horarias (en este caso, UTC)
from datetime import datetime, timedelta, timezone

# Clave secreta que se usar√° para firmar el token.
# Esta clave debe mantenerse segura y no compartirse p√∫blicamente.
SECRET_KEY = "tu_clave_secreta"

# Algoritmo de firma utilizado para asegurar el token.
# HS256 es HMAC con SHA-256, un est√°ndar seguro y com√∫nmente usado.
ALGORITHM = "HS256"

# Diccionario que representa el 'payload' del token JWT:
# - 'sub' (subject): identificador del usuario autenticado
# - 'exp' (expiration): momento exacto en que el token expira,
#   calculado como 30 minutos desde el momento actual en UTC
data = {
    "sub": "usuario123",  # Identificador del usuario (puede ser ID, username, etc.)
    "exp": datetime.now(timezone.utc) + timedelta(minutes=30)  # Expiraci√≥n segura del token
}

# Genera un token JWT:
# - Incluye el 'payload' definido en 'data'
# - Lo firma usando la clave secreta (SECRET_KEY)
# - Utiliza el algoritmo de firma definido (HS256)
token = jwt.encode(data, SECRET_KEY, algorithm=ALGORITHM)

# Opcional
print("Token JWT generado:")
print(token)

---

### 3. Generaci√≥n y verificaci√≥n de tokens


#### Funci√≥n reutilizable: Crear token:



In [None]:
from jose import jwt
from datetime import datetime, timedelta, timezone

# Clave secreta utilizada para firmar el token JWT (debe mantenerse segura y privada)
SECRET_KEY = "tu_clave_secreta"

# Algoritmo de firma utilizado (HS256 es uno de los m√°s comunes)
ALGORITHM = "HS256"

# Funci√≥n para crear un token JWT
def crear_token(datos: dict, expiracion: int = 30):
    # Se crea una copia del diccionario de datos para no modificar el original
    to_encode = datos.copy()

    # Se calcula la fecha y hora de expiraci√≥n del token (actual + minutos definidos)
    # Usamos datetime.now(timezone.utc) para que sea timezone-aware y evitar warnings
    expire = datetime.now(timezone.utc) + timedelta(minutes=expiracion)

    # Se agrega el campo 'exp' al diccionario, obligatorio para definir la expiraci√≥n del token
    to_encode.update({"exp": expire})

    # Se genera el token JWT codificado y firmado con la clave y el algoritmo especificado
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)


# Datos de ejemplo para el token
datos_usuario = {"sub": "usuario123", "rol": "admin"}

# Crear token con datos de usuario
token_generado = crear_token(datos_usuario)

# Imprimir el token para mostrarlo
print("Token JWT generado:", token_generado)


#### Verificar token:



In [None]:
from jose import jwt
from jose.exceptions import JWTError
from fastapi import HTTPException  # Solo si usas FastAPI

SECRET_KEY = "tu_clave_secreta"
ALGORITHM = "HS256"

def verificar_token(token: str):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except JWTError:
        # Si no usas FastAPI, cambia esta l√≠nea por algo como: raise ValueError("Token inv√°lido o expirado")
        raise ValueError("Token inv√°lido o expirado")

# Ejemplo de uso:
token_ejemplo = "aqu√≠_va_un_token_valido"  # Debes reemplazar con un token v√°lido

try:
    contenido = verificar_token(token_ejemplo)
    print("Token verificado con √©xito:", contenido)
except Exception as e:
    print("Error al verificar token:", e)


### C√≥digo completo de Generaci√≥n y Verificaci√≥n de token

In [None]:
from jose import jwt
from jose.exceptions import JWTError
from datetime import datetime, timedelta, timezone

# Si usas FastAPI, descomenta la siguiente l√≠nea y usa HTTPException para errores HTTP:
# from fastapi import HTTPException

# Clave secreta utilizada para firmar el token JWT (debe mantenerse segura y privada)
SECRET_KEY = "tu_clave_secreta"

# Algoritmo de firma utilizado (HS256 es uno de los m√°s comunes)
ALGORITHM = "HS256"

# Funci√≥n para crear un token JWT
def crear_token(datos: dict, expiracion: int = 30):
    to_encode = datos.copy()
    expire = datetime.now(timezone.utc) + timedelta(minutes=expiracion)
    to_encode.update({"exp": expire})
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

# Funci√≥n para verificar un token JWT
def verificar_token(token: str):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except JWTError:
        # Si usas FastAPI, lanza esta excepci√≥n para enviar un error HTTP 401:
        # raise HTTPException(status_code=401, detail="Token inv√°lido o expirado")

        # Si no usas FastAPI, puedes lanzar una excepci√≥n est√°ndar:
        raise ValueError("Token inv√°lido o expirado")

# Datos de ejemplo para el token
datos_usuario = {"sub": "usuario123", "rol": "admin"}

# Crear token con datos de usuario
token_generado = crear_token(datos_usuario)

# Imprimir el token para mostrarlo
print("Token JWT generado:", token_generado)

# Verificar el token (ejemplo)
try:
    payload = verificar_token(token_generado)
    print("Token verificado, contenido:", payload)
except ValueError as e:
    print(str(e))


> **Buenas pr√°cticas**:
>
> * Nunca expongas `SECRET_KEY` en el c√≥digo. Usa variables de entorno.
> * Agrega validaciones expl√≠citas para `exp`, `sub`, `aud`.

---


### 4. Simulaci√≥n de login con usuario y contrase√±a

En un sistema real, cuando un usuario se registra o inicia sesi√≥n, nunca guardamos ni comparamos la contrase√±a en texto plano (es decir, tal cual la escribe el usuario), porque ser√≠a un riesgo enorme de seguridad si alguien accede a la base de datos.

### ¬øQu√© hacemos entonces?

Guardamos un **hash** de la contrase√±a, que es una transformaci√≥n irreversible de la contrase√±a original. As√≠, aunque alguien acceda a la base de datos, no podr√° ver las contrase√±as reales.

Para hacer esto correctamente, usamos librer√≠as especializadas como **Passlib** en Python.

---

### ¬øQu√© es Passlib?

**Passlib** es una librer√≠a de Python que facilita:

* Crear hashes seguros de contrase√±as.
* Verificar contrase√±as contra esos hashes.
* Usar algoritmos robustos y modernos (como bcrypt, argon2, pbkdf2\_sha256, etc.).
* Manejar sal (salt), que es un dato aleatorio que hace m√°s seguro el hash.

---

### ¬øC√≥mo funciona en el login?

1. Cuando un usuario se registra, su contrase√±a se convierte en un hash con Passlib y se guarda el hash (no la contrase√±a original).

2. Cuando un usuario intenta iniciar sesi√≥n, se toma la contrase√±a que escribe, se hashea y se compara con el hash almacenado.

3. Si coinciden, el login es exitoso.

---

### Ejemplo b√°sico con Passlib (bcrypt):


In [None]:
from passlib.context import CryptContext

# Crear contexto para hashing con bcrypt (uno de los algoritmos m√°s seguros)
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# Hash de la contrase√±a para guardar en base de datos (registro)
def hash_password(password: str) -> str:
    return pwd_context.hash(password)

# Verificar contrase√±a durante login
def verify_password(plain_password: str, hashed_password: str) -> bool:
    return pwd_context.verify(plain_password, hashed_password)

# Simulaci√≥n:
password_original = "miClaveSuperSecreta123"
hashed = hash_password(password_original)
print("Hash generado:", hashed)

# Supongamos que el usuario ingresa esta contrase√±a para login
input_password = "miClaveSuperSecreta123"

# Verificar
if verify_password(input_password, hashed):
    print("¬°Contrase√±a correcta! Login exitoso.")
else:
    print("Contrase√±a incorrecta.")


---

### ¬øPor qu√© es importante?

* No guardas contrase√±as en texto plano (nunca).
* Con Passlib evitas muchos errores comunes en hashing manual.
* Aumenta la seguridad general del sistema.
* Facilita futuras actualizaciones a algoritmos m√°s seguros.

---


#### Login:



In [None]:
from fastapi import FastAPI, Depends, HTTPException
from passlib.context import CryptContext
from jose import jwt, JWTError
from datetime import datetime, timedelta, timezone
from fastapi.security import OAuth2PasswordBearer
from pydantic import BaseModel

app = FastAPI()
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
SECRET_KEY = "tu_clave_secreta"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30
usuarios = {}

def hashear_password(password: str) -> str:
    return pwd_context.hash(password)

def verificar_password(plain_password: str, hashed_password: str) -> bool:
    return pwd_context.verify(plain_password, hashed_password)

def crear_token(data: dict, expiracion: int = ACCESS_TOKEN_EXPIRE_MINUTES):
    to_encode = data.copy()  # Copia los datos para no modificar el original
    expire = datetime.now(timezone.utc) + timedelta(minutes=expiracion)  # Calcula fecha de expiraci√≥n en UTC
    to_encode.update({"exp": expire})  # Agrega la expiraci√≥n al payload
    # Codifica el token con la clave secreta y el algoritmo definido
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

usuarios["admin"] = hashear_password("1234")

class LoginData(BaseModel):
    username: str
    password: str

@app.post("/login")
def login(datos: LoginData):
    user_pass = usuarios.get(datos.username)  # Obtiene la contrase√±a hasheada del usuario
    if not user_pass or not verificar_password(datos.password, user_pass):
        raise HTTPException(status_code=400, detail="Credenciales inv√°lidas")
    
    token = crear_token({"sub": datos.username})
    
    return {"access_token": token, "token_type": "bearer"}


3. Ejecuta el servidor:

```bash
uvicorn main:app --reload
```

4. Prueba el endpoint `/login` con POST y un JSON:

```json
{
  "username": "admin",
  "password": "1234"
}
```

Y te devolver√° un token JWT v√°lido.



---

### 5. Sugerencias de estructura para login



#### Arquitectura recomendada:

```
app/
‚îú‚îÄ‚îÄ main.py
‚îú‚îÄ‚îÄ auth/
‚îÇ   ‚îú‚îÄ‚îÄ auth_handler.py  # l√≥gica JWT
‚îÇ   ‚îú‚îÄ‚îÄ auth_service.py  # validaci√≥n
‚îú‚îÄ‚îÄ routes/
‚îÇ   ‚îî‚îÄ‚îÄ user_routes.py
‚îú‚îÄ‚îÄ models/
‚îÇ   ‚îî‚îÄ‚îÄ user.py
```


> **Principios aplicados**:
>
> * SRP (Single Responsibility Principle)
> * DRY (Don't Repeat Yourself)
> * KISS (Keep It Simple, Stupid)

---


## **Proyecto por capas**

```
app/
‚îú‚îÄ‚îÄ main.py
‚îú‚îÄ‚îÄ core/
‚îÇ   ‚îî‚îÄ‚îÄ database.py          # conexi√≥n a PostgreSQL
‚îú‚îÄ‚îÄ auth/
‚îÇ   ‚îú‚îÄ‚îÄ auth_handler.py      # l√≥gica JWT
‚îÇ   ‚îú‚îÄ‚îÄ auth_service.py      # hash/verify
‚îú‚îÄ‚îÄ routes/
‚îÇ   ‚îî‚îÄ‚îÄ user_routes.py       # rutas
‚îú‚îÄ‚îÄ models/
‚îÇ   ‚îî‚îÄ‚îÄ user.py              # modelo ORM
```

---


### Paso 1: `core/database.py`

In [None]:
# Importamos las funciones necesarias desde SQLAlchemy y otras librer√≠as
from sqlalchemy import create_engine  # Permite crear el motor de conexi√≥n a la base de datos
from sqlalchemy.ext.declarative import declarative_base  # Permite definir clases ORM que se traducen a tablas
from sqlalchemy.orm import sessionmaker  # Permite crear sesiones para interactuar con la base de datos
from sqlalchemy.exc import SQLAlchemyError  # Para capturar errores espec√≠ficos de SQLAlchemy
import os  # Permite acceder a variables del sistema
from dotenv import load_dotenv  # Permite cargar variables desde un archivo .env al entorno del sistema

# Cargar las variables de entorno definidas en un archivo .env (si existe)
load_dotenv()

# Configuraci√≥n de conexi√≥n con valores por defecto si no se encuentran en el entorno
DB_USER = os.getenv("DB_USER", "postgres")  # Usuario de la base de datos
DB_PASS = os.getenv("DB_PASS", "1126254560")  # Contrase√±a del usuario
DB_HOST = os.getenv("DB_HOST", "localhost")  # Direcci√≥n del host de la base de datos (localhost en desarrollo)
DB_PORT = os.getenv("DB_PORT", "5432")  # Puerto donde escucha PostgreSQL
DB_NAME = os.getenv("DB_NAME", "db_ejemplo")  # Nombre de la base de datos

# Construcci√≥n de la URL de conexi√≥n con el formato requerido por SQLAlchemy para PostgreSQL
DATABASE_URL = f"postgresql://{DB_USER}:{DB_PASS}@{DB_HOST}:{DB_PORT}/{DB_NAME}"

# Intentamos crear el motor de conexi√≥n y las herramientas de SQLAlchemy
try:
    # Crea el motor de conexi√≥n a la base de datos usando la URL generada
    engine = create_engine(DATABASE_URL)

    # Crea la clase SessionLocal que servir√° para crear sesiones de base de datos
    # autocommit=False: las transacciones no se confirman autom√°ticamente
    # autoflush=False: los cambios no se sincronizan autom√°ticamente
    # bind=engine: se vincula al motor creado
    SessionLocal = sessionmaker(autocommit=False, autoflush=False, bind=engine)

    # Clase base desde la cual se definir√°n las clases (modelos) ORM
    Base = declarative_base()

# En caso de error durante la conexi√≥n o creaci√≥n de herramientas, se captura y lanza una excepci√≥n con mensaje claro
except SQLAlchemyError as e:
    raise Exception(f"Error al conectar con la base de datos: {str(e)}")

# Funci√≥n que sirve como dependencia para obtener una sesi√≥n de base de datos
# Se usa, por ejemplo, en los endpoints de FastAPI para ejecutar consultas dentro de un contexto controlado
def get_db():
    db = SessionLocal()  # Se crea una nueva sesi√≥n a partir de SessionLocal
    try:
        yield db  # Se "entrega" la sesi√≥n al bloque que la necesite (por ejemplo, un endpoint)
    except SQLAlchemyError as e:
        db.rollback()  # Si ocurre un error, se hace rollback de cualquier cambio no confirmado
        raise Exception(f"Error en la operaci√≥n de base de datos: {str(e)}")  # Se lanza una excepci√≥n personalizada
    finally:
        db.close()  # Siempre se cierra la sesi√≥n, haya error o no, para liberar recursos


---

### Paso 2: `models/user.py`



In [None]:
# Importamos los tipos de columna que vamos a usar en la definici√≥n del modelo
from sqlalchemy import Column, Integer, String, DateTime

# Importamos una funci√≥n de utilidad para obtener la hora actual del servidor
from sqlalchemy.sql import func

# Importamos la clase Base desde nuestro archivo de base de datos
# Esta clase es la que sirve como base para todos los modelos ORM
from core.database import Base

# Definimos el modelo de la tabla 'users', que representa a los usuarios del sistema
class User(Base):
    # Nombre de la tabla en la base de datos
    __tablename__ = "users"
    
    # Columna 'id': clave primaria (primary_key), tipo entero, con √≠ndice para b√∫squedas r√°pidas
    id = Column(Integer, primary_key=True, index=True)
    
    # Columna 'username': texto de hasta 50 caracteres, debe ser √∫nico, no puede ser nulo, con √≠ndice
    username = Column(String(50), unique=True, index=True, nullable=False)
    
    # Columna 'hashed_password': texto de hasta 255 caracteres, obligatorio
    # Aqu√≠ se guarda la contrase√±a cifrada del usuario, no la contrase√±a original
    hashed_password = Column(String(255), nullable=False)
    
    # Columna 'created_at': almacena la fecha y hora de creaci√≥n del usuario
    # Se asigna autom√°ticamente con la hora actual del servidor cuando se crea el registro
    created_at = Column(DateTime(timezone=True), server_default=func.now())
    
    # Columna 'updated_at': almacena la fecha y hora de la √∫ltima modificaci√≥n del usuario
    # Se actualiza autom√°ticamente cada vez que se modifica el registro
    updated_at = Column(DateTime(timezone=True), onupdate=func.now())


---

### Paso 3: `auth/auth_service.py`



In [None]:
# Importamos CryptContext desde la librer√≠a passlib, que nos permite manejar el hashing de contrase√±as
from passlib.context import CryptContext

# Creamos un contexto de encriptaci√≥n especificando que vamos a usar el algoritmo "bcrypt"
# "deprecated='auto'" significa que passlib elegir√° autom√°ticamente si un esquema est√° obsoleto
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# Funci√≥n para hashear (encriptar) una contrase√±a en texto plano
# Recibe como par√°metro una contrase√±a tipo string
# Retorna la contrase√±a encriptada como string
def hashear_password(password: str) -> str:
    return pwd_context.hash(password)

# Funci√≥n para verificar si una contrase√±a en texto plano coincide con su versi√≥n encriptada
# Recibe la contrase√±a original (sin cifrar) y la contrase√±a cifrada
# Retorna True si coinciden, False si no
def verificar_password(plain_password: str, hashed_password: str) -> bool:
    return pwd_context.verify(plain_password, hashed_password)


---

### Paso 4: `auth/auth_handler.py`



In [None]:
# Importamos clases y funciones necesarias para manejar fechas y horas
from datetime import datetime, timedelta, timezone

# Importamos funciones para codificar y decodificar JWT desde la librer√≠a `python-jose`
from jose import jwt, JWTError

# Clave secreta usada para firmar y verificar los tokens JWT
SECRET_KEY = "clave_super_secreta"

# Algoritmo de cifrado que se usar√° para el token (HS256 = HMAC con SHA-256)
ALGORITHM = "HS256"

# Tiempo de expiraci√≥n del token de acceso en minutos (30 minutos por defecto)
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# Funci√≥n para crear un token JWT
# Recibe un diccionario `data` con los datos que queremos codificar
# y un tiempo de expiraci√≥n opcional en minutos (por defecto: 30)
def crear_token(data: dict, expiracion: int = ACCESS_TOKEN_EXPIRE_MINUTES):
    # Hacemos una copia del diccionario de datos para no modificar el original
    to_encode = data.copy()
    
    # Calculamos el tiempo de expiraci√≥n sumando los minutos actuales
    expire = datetime.now(timezone.utc) + timedelta(minutes=expiracion)
    
    # Agregamos el campo 'exp' (expiraci√≥n) al diccionario que se codificar√°
    to_encode.update({"exp": expire})
    
    # Codificamos el token JWT con la clave secreta y el algoritmo especificado
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

# Funci√≥n para verificar y decodificar un token JWT
# Recibe el token como string y retorna los datos (payload) si es v√°lido
# Si hay error (por ejemplo, token inv√°lido o expirado), retorna None
def verificar_token(token: str):
    try:
        # Decodificamos el token con la clave secreta y algoritmo
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except JWTError:
        # Si el token es inv√°lido o ha expirado, retornamos None
        return None


---

### Paso 5: `routes/user_routes.py`



In [None]:
# Importamos herramientas de FastAPI para crear rutas, dependencias e indicar errores HTTP
from fastapi import APIRouter, Depends, HTTPException

# Importamos Session para interactuar con la base de datos mediante SQLAlchemy
from sqlalchemy.orm import Session

# Importamos BaseModel para validar los datos de entrada con Pydantic
from pydantic import BaseModel

# Importamos la funci√≥n para obtener la sesi√≥n de base de datos
from core.database import get_db

# Importamos el modelo de usuario
from models.user import User

# Importamos funciones para hashear y verificar contrase√±as
from auth.auth_service import hashear_password, verificar_password

# Importamos funci√≥n para crear el token JWT
from auth.auth_handler import crear_token

# Creamos un router de FastAPI para manejar las rutas relacionadas con el usuario
router = APIRouter()

# Definimos el esquema de datos que se espera tanto en login como en registro
class LoginData(BaseModel):
    username: str
    password: str

# Ruta para el inicio de sesi√≥n (login)
@router.post("/login")
def login(data: LoginData, db: Session = Depends(get_db)):
    # Buscamos el usuario por nombre de usuario en la base de datos
    user = db.query(User).filter(User.username == data.username).first()
    
    # Si no existe el usuario o la contrase√±a es incorrecta, lanzamos error 401 (no autorizado)
    if not user or not verificar_password(data.password, user.hashed_password):
        raise HTTPException(status_code=401, detail="Credenciales inv√°lidas")

    # Si las credenciales son v√°lidas, generamos un token JWT con el nombre de usuario
    token = crear_token({"sub": user.username})
    
    # Retornamos el token y el tipo de autenticaci√≥n
    return {"access_token": token, "token_type": "bearer"}

# Ruta para registrar un nuevo usuario
@router.post("/register")
def register(data: LoginData, db: Session = Depends(get_db)):
    # Verificamos si ya existe un usuario con ese nombre
    user = db.query(User).filter(User.username == data.username).first()
    
    # Si ya existe, lanzamos un error 400 (petici√≥n inv√°lida)
    if user:
        raise HTTPException(status_code=400, detail="Usuario ya existe")

    # Hasheamos la contrase√±a del nuevo usuario
    hashed = hashear_password(data.password)

    # Creamos una nueva instancia del modelo User
    nuevo_usuario = User(username=data.username, hashed_password=hashed)

    # Agregamos el nuevo usuario a la base de datos
    db.add(nuevo_usuario)
    db.commit()  # Confirmamos los cambios en la base de datos
    db.refresh(nuevo_usuario)  # Obtenemos la versi√≥n actualizada del usuario

    # Retornamos un mensaje de √©xito
    return {"mensaje": "Usuario registrado exitosamente"}


---

### Paso 6: `main.py`



In [None]:
from fastapi import FastAPI, HTTPException
from core.database import Base, engine
from routes.user_routes import router as user_router
import logging

logging.basicConfig(
    level=logging.INFO,  # Nivel de registro (INFO, DEBUG, ERROR, etc.)
    format='%(asctime)s - %(name)s - %(levelname)s - %(message)s'  # Formato del mensaje
)
logger = logging.getLogger(__name__)  # Creamos un logger espec√≠fico para este archivo

app = FastAPI()

try:
    Base.metadata.create_all(bind=engine)  # Ejecuta la creaci√≥n de todas las tablas definidas en los modelos
    logger.info("Base de datos inicializada correctamente")  # Mensaje de √©xito
except Exception as e:
    logger.error(f"Error al inicializar la base de datos: {str(e)}")  # Mensaje de error
    raise  # Lanza nuevamente la excepci√≥n para detener la aplicaci√≥n si hay fallo

app.include_router(user_router, prefix="/api/v1")  # Todas las rutas estar√°n bajo /api/v1 (ej: /api/v1/login)


---

### Ejecutar el proyecto


1. Aseg√∫rate de tener PostgreSQL encendido y una base de datos creada:

```bash
createdb tu_db
```

2. Instala dependencias:

```bash
pip install fastapi[all] sqlalchemy psycopg2-binary passlib[bcrypt] python-jose
```

3. Ejecuta el servidor:

```bash
uvicorn app.main:app --reload
```

4. Abre tu navegador:
   üìç [http://127.0.0.1:8000/docs](http://127.0.0.1:8000/docs)

---




### 6. Validaci√≥n de l√≥gica de expiraci√≥n



* Usar `exp` como clave de control
* Simular token expirado
* Retornar mensaje claro y seguro



In [None]:
try:
    datos = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
except ExpiredSignatureError:
    raise HTTPException(status_code=401, detail="Token expirado")


---

### 7. Refactor de controladores y rutas protegidas



#### Ejemplo con dependencia:



In [None]:
from fastapi.security import OAuth2PasswordBearer
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")

@app.get("/protegido")
def ruta_protegida(token: str = Depends(oauth2_scheme)):
    payload = verificar_token(token)
    return {"usuario": payload["sub"]}


> **C√≥digo limpio**: Evitar l√≥gica repetida en rutas. Usar funciones reutilizables y dependencias.

---


## Proyecto en clase

**Objetivo**: Implementar autenticaci√≥n b√°sica con JWT en una API de usuarios.

### Requisitos m√≠nimos:

* Endpoint `/login` con validaci√≥n de usuario
* Endpoint `/me` protegido por token JWT
* Hash de contrase√±a
* Expiraci√≥n de token a los 15 minutos


---

## Actividades adicionales (60 min)

### 1. Probar login con credenciales inv√°lidas

* Simular contrase√±as incorrectas
* Validar errores HTTP 401 o 400

### 2. Probar tokens vencidos

* Reducir la expiraci√≥n a 5 segundos para pruebas

### 3. Revisi√≥n de l√≥gica condicional

* Controlar que solo usuarios autenticados puedan acceder

### 4. Simulaci√≥n de ataques comunes:

* **Token modificado**
* **Token sin firma**
* **Fuerza bruta**

> Refuerzo de seguridad:
>
> * Validar longitud m√≠nima de contrase√±a
> * Evitar exposici√≥n de detalles t√©cnicos
> * Usar HTTPS siempre
> * Implementar logout (invalidez del token en backend o blacklist)

---

## Normas internacionales aplicadas

| Norma             | Aplicaci√≥n                                                                  |
| ----------------- | --------------------------------------------------------------------------- |
| **OWASP Top 10**  | Prevenci√≥n de exposici√≥n de datos, validaci√≥n de entrada, control de acceso |
| **PEP 8**         | Nombres descriptivos, organizaci√≥n de imports, espaciado                    |
| **PEP 20**        | C√≥digo legible y expl√≠cito                                                  |
| **ISO/IEC 27001** | Enfoque en confidencialidad e integridad de tokens                          |

---

## Recursos adicionales

* Documentaci√≥n de JWT: [https://jwt.io/](https://jwt.io/)
* python-jose: [https://github.com/mpdavis/python-jose](https://github.com/mpdavis/python-jose)
* OWASP Cheatsheets: [https://cheatsheetseries.owasp.org/](https://cheatsheetseries.owasp.org/)

---

