## Proyecto: **Sistema Seguro de Gesti√≥n de Cuentas y Tareas**

**Framework principal:** FastAPI

**GUI para configuraci√≥n:** Streamlit

**Autenticaci√≥n:** JWT

**Base de datos:** PostgreSQL 

**Logs:** Loguru

**Documentaci√≥n:** Swagger (FastAPI)

**Protecci√≥n por roles:** `admin` y `user`



---


## Estructura general por capas

```
secure_task_manager/
‚îú‚îÄ‚îÄ app/
‚îÇ   ‚îú‚îÄ‚îÄ main.py                  # Entry point FastAPI
‚îÇ   ‚îú‚îÄ‚îÄ core/                    # Configuraci√≥n y utilidades
‚îÇ   ‚îÇ   ‚îú‚îÄ‚îÄ config.py            # Carga del .env
‚îÇ   ‚îÇ   ‚îú‚îÄ‚îÄ logger.py            # Logger con Loguru
‚îÇ   ‚îú‚îÄ‚îÄ models/                  # Modelos SQLAlchemy
‚îÇ   ‚îÇ   ‚îî‚îÄ‚îÄ user_task.py
‚îÇ   ‚îú‚îÄ‚îÄ schemas/                 # Esquemas Pydantic
‚îÇ   ‚îÇ   ‚îî‚îÄ‚îÄ user_task.py
‚îÇ   ‚îú‚îÄ‚îÄ services/                # L√≥gica de negocio
‚îÇ   ‚îÇ   ‚îú‚îÄ‚îÄ auth_service.py
‚îÇ   ‚îÇ   ‚îî‚îÄ‚îÄ task_service.py
‚îÇ   ‚îú‚îÄ‚îÄ routes/                  # Rutas y controladores
‚îÇ   ‚îÇ   ‚îú‚îÄ‚îÄ auth_routes.py
‚îÇ   ‚îÇ   ‚îî‚îÄ‚îÄ task_routes.py
‚îÇ   ‚îú‚îÄ‚îÄ database/                # DB engine y Base
‚îÇ   ‚îÇ   ‚îî‚îÄ‚îÄ session.py
‚îú‚îÄ‚îÄ streamlit_app.py             # GUI para configurar la clave
‚îú‚îÄ‚îÄ .env                         # Clave secreta
‚îú‚îÄ‚îÄ requirements.txt
‚îî‚îÄ‚îÄ README.md
```

---


Requisitos (requirements.txt)

In [None]:
fastapi
uvicorn
sqlalchemy
pydantic
passlib[bcrypt]
python-jose[cryptography]
python-dotenv
streamlit
psycopg2-binary



core/config.py

In [None]:
# Importa el m√≥dulo 'os' que permite interactuar con variables de entorno del sistema operativo
import os

# Importa la funci√≥n 'load_dotenv' que carga las variables de un archivo .env al entorno del sistema
from dotenv import load_dotenv

# Carga las variables definidas en el archivo .env al entorno de ejecuci√≥n
load_dotenv()

# Obtiene la variable de entorno 'SECRET_KEY' del archivo .env.
# Si no existe, se usar√° "clave_secreta_super_segura" por defecto.
SECRET_KEY = os.getenv("SECRET_KEY", "clave_secreta_super_segura")

# Define el algoritmo de firma que usar√° el token JWT (usualmente HS256)
ALGORITHM = "HS256"

# Define el tiempo de expiraci√≥n en minutos del token JWT
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# Obtiene las credenciales de conexi√≥n a PostgreSQL desde las variables de entorno
POSTGRES_USER = os.getenv("POSTGRES_USER")         # Nombre de usuario de la base de datos
POSTGRES_PASSWORD = os.getenv("POSTGRES_PASSWORD") # Contrase√±a del usuario
POSTGRES_DB = os.getenv("POSTGRES_DB")             # Nombre de la base de datos
POSTGRES_HOST = os.getenv("POSTGRES_HOST")         # Direcci√≥n del host (ej: localhost o IP)
POSTGRES_PORT = os.getenv("POSTGRES_PORT")         # Puerto de conexi√≥n (por defecto: 5432)

# Construye la cadena de conexi√≥n a PostgreSQL usando los valores anteriores
DATABASE_URL = (
    f"postgresql://{POSTGRES_USER}:{POSTGRES_PASSWORD}"  # Usuario y contrase√±a
    f"@{POSTGRES_HOST}:{POSTGRES_PORT}/{POSTGRES_DB}"    # Host, puerto y base de datos
)


core/logger.py

In [None]:
# Importa el m√≥dulo est√°ndar de logging para registrar mensajes en archivos o consola
import logging

# Importa el m√≥dulo os para interactuar con el sistema de archivos (crear carpetas, etc.)
import os

# Importa un handler especial que permite rotar los logs autom√°ticamente en intervalos de tiempo (por ejemplo, diario)
from logging.handlers import TimedRotatingFileHandler

# Funci√≥n que inicializa y configura el sistema de logging
def init_logger():
    # Crea la carpeta "logs" si no existe, para guardar all√≠ los archivos de log
    os.makedirs('logs', exist_ok=True)

    # Obtiene el logger ra√≠z (global)
    logger = logging.getLogger()

    # Establece el nivel m√≠nimo de mensajes que se van a registrar (INFO o superior: INFO, WARNING, ERROR, CRITICAL)
    logger.setLevel(logging.INFO)

    # Crea un handler que guarda los logs en "logs/app.log", y los rota cada medianoche
    # - backupCount=7: guarda hasta 7 archivos de log antiguos (uno por d√≠a)
    # - encoding='utf-8': garantiza que el texto se guarde correctamente en UTF-8
    handler = TimedRotatingFileHandler(
        'logs/app.log', when='midnight', backupCount=7, encoding='utf-8'
    )

    # Define el formato del mensaje que se va a registrar en cada l√≠nea del log
    formatter = logging.Formatter('%(asctime)s - %(levelname)s - %(message)s')

    # Asigna el formato definido al handler
    handler.setFormatter(formatter)

    # Agrega el handler al logger solo si a√∫n no tiene uno (evita agregar m√∫ltiples veces si se llama m√°s de una vez)
    if not logger.handlers:
        logger.addHandler(handler)


database/session.py

In [None]:
# Importa el constructor del motor de base de datos de SQLAlchemy
from sqlalchemy import create_engine

# Importa herramientas para manejar sesiones y clases base de modelos
from sqlalchemy.orm import sessionmaker, declarative_base

# Importa la URL de conexi√≥n a la base de datos definida en el archivo de configuraci√≥n
from core.config import DATABASE_URL

# Crea un motor de conexi√≥n a la base de datos usando la URL configurada (PostgreSQL en este caso)
engine = create_engine(DATABASE_URL)

# Crea una clase f√°brica para generar sesiones de conexi√≥n a la base de datos.
# - autoflush=False: no se escriben autom√°ticamente los cambios hasta que se haga commit
# - autocommit=False: se requiere llamar manualmente a commit() para guardar los cambios
SessionLocal = sessionmaker(bind=engine, autoflush=False, autocommit=False)

# Crea una clase base para que los modelos ORM de SQLAlchemy la usen como superclase
Base = declarative_base()

# Funci√≥n generadora que se utiliza como dependencia en FastAPI
# Abre una sesi√≥n de base de datos, y la cierra al finalizar
def get_db():
    db = SessionLocal()   # Se crea una nueva sesi√≥n
    try:
        yield db          # Se retorna la sesi√≥n para usarla en los endpoints
    finally:
        db.close()        # Al finalizar, se asegura que la conexi√≥n se cierre correctamente


models/user_task.py

In [None]:
# Importa las clases necesarias para definir columnas y tipos de datos en la tabla
from sqlalchemy import Column, Integer, String, Boolean

# Importa la clase base que permite a SQLAlchemy registrar este modelo como una tabla
from database.session import Base

# Define la clase User como un modelo de SQLAlchemy que representa la tabla 'users'
class User(Base):
    # Nombre de la tabla que se crear√° en la base de datos
    __tablename__ = "users"

    # Columna 'id': clave primaria, tipo entero, autoincremental por defecto
    id = Column(Integer, primary_key=True)

    # Columna 'username': tipo texto, debe ser √∫nico en la tabla
    username = Column(String, unique=True)

    # Columna 'hashed_password': tipo texto, donde se guarda la contrase√±a ya cifrada (hash)
    hashed_password = Column(String)

    # Columna 'role': tipo texto, por defecto se asigna "user" (puede ser "admin" u otros roles si se define)
    role = Column(String, default="user")

    # Columna 'is_active': tipo booleano, indica si el usuario est√° activo o no, por defecto es True
    is_active = Column(Boolean, default=True)


app/main.py

In [None]:
# Importa la clase principal de FastAPI, que permite crear la aplicaci√≥n web
from fastapi import FastAPI

# Importa las rutas relacionadas con autenticaci√≥n (registro, login, etc.)
from routes import auth_routes

# Importa la funci√≥n para inicializar el sistema de logs
from core.logger import init_logger

# Importa la clase Base y el motor de conexi√≥n a la base de datos
from database.session import Base, engine

# Importa el m√≥dulo de modelos (esto asegura que SQLAlchemy reconozca las clases mapeadas)
from models import user_task

# Crea una instancia de la aplicaci√≥n FastAPI, con un t√≠tulo personalizado
app = FastAPI(title="Sistema de Gesti√≥n de Cuentas")

# Crea todas las tablas definidas en los modelos si no existen a√∫n en la base de datos
Base.metadata.create_all(bind=engine)

# Inicializa el logger: se configura el archivo de log y el formato de mensajes
init_logger()

# Incluye las rutas definidas en el m√≥dulo auth_routes
# Esto habilita los endpoints como /auth/register, /auth/login, etc.
app.include_router(auth_routes.router)


schemas/user_task.py

In [None]:
# Importa la clase base para crear modelos Pydantic, y Field para aplicar validaciones adicionales
from pydantic import BaseModel, Field

# Importa Annotated, que permite agregar validaciones al tipo de dato
from typing import Annotated

# Modelo que se usa al registrar un nuevo usuario en el sistema
class UserCreate(BaseModel):
    # Campo 'username': debe ser una cadena entre 4 y 20 caracteres
    username: Annotated[str, Field(min_length=4, max_length=20)]
    
    # Campo 'password': debe tener al menos 6 caracteres
    password: Annotated[str, Field(min_length=6)]

    # Campo 'role': permite indicar el rol del usuario (por ejemplo: "user", "admin")
    role: str

# Modelo que se usa para retornar informaci√≥n del usuario sin incluir datos sensibles
class UserOut(BaseModel):
    # ID del usuario en la base de datos
    id: int

    # Nombre de usuario
    username: str

    # Rol del usuario
    role: str

    # Configuraci√≥n para permitir la conversi√≥n desde objetos ORM como los de SQLAlchemy
    class Config:
        from_attributes = True  # Permite crear este modelo directamente desde objetos de la base de datos

# Modelo que se utiliza para enviar el token JWT como respuesta al iniciar sesi√≥n
class Token(BaseModel):
    # Token JWT generado
    access_token: str

    # Tipo de token (usualmente "bearer")
    token_type: str

# Modelo que se utiliza para recibir los datos del formulario de inicio de sesi√≥n
class LoginForm(BaseModel):
    # Nombre de usuario para iniciar sesi√≥n
    username: str

    # Contrase√±a del usuario
    password: str


services/auth_service.py

In [None]:
# Importa el contexto de encriptaci√≥n de contrase√±as con bcrypt
from passlib.context import CryptContext

# Importa funciones y excepciones para codificar y decodificar JWT
from jose import jwt, JWTError

# Importa funciones de fecha y hora para generar expiraciones de tokens
from datetime import datetime, timedelta

# Importa el tipo de sesi√≥n de SQLAlchemy para interactuar con la base de datos
from sqlalchemy.orm import Session

# Importa la excepci√≥n HTTPException para lanzar errores personalizados en FastAPI
from fastapi import HTTPException, Depends

# Importa el esquema de seguridad para autenticaci√≥n con token (OAuth2 con password bearer)
from fastapi.security import OAuth2PasswordBearer

# Importa el modelo ORM del usuario (tabla `users`)
from models.user_task import User

# Importa el esquema de entrada para crear usuarios (username, password, role)
from schemas.user_task import UserCreate

# Importa las variables de configuraci√≥n definidas en el archivo `.env`
from core.config import SECRET_KEY, ALGORITHM, ACCESS_TOKEN_EXPIRE_MINUTES

# Importa la funci√≥n para obtener la sesi√≥n de base de datos como dependencia
from database.session import get_db

# Crea un contexto de encriptaci√≥n con el algoritmo bcrypt (seguro y recomendado)
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# Define el esquema de autenticaci√≥n OAuth2. Se espera que los tokens se obtengan en /auth/login
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/auth/login")

# Funci√≥n para registrar un nuevo usuario en la base de datos
def create_user(user: UserCreate, db: Session):
    # Encripta la contrase√±a usando bcrypt
    hashed_pw = pwd_context.hash(user.password)

    # Crea una instancia del modelo User con los datos recibidos
    db_user = User(username=user.username, hashed_password=hashed_pw, role=user.role)

    # Agrega el nuevo usuario a la sesi√≥n de la base de datos
    db.add(db_user)

    # Guarda los cambios en la base de datos
    db.commit()

    # Refresca el objeto con los datos actuales de la base de datos (incluye ID asignado)
    db.refresh(db_user)

    # Retorna el usuario creado
    return db_user

# Funci√≥n para autenticar a un usuario durante el login
def authenticate_user(username: str, password: str, db: Session):
    # Busca al usuario por nombre de usuario
    user = db.query(User).filter_by(username=username).first()

    # Si no existe el usuario o la contrase√±a no coincide, retorna None
    if not user or not pwd_context.verify(password, user.hashed_password):
        return None

    # Si las credenciales son v√°lidas, retorna el objeto del usuario
    return user

# Funci√≥n para generar un token JWT v√°lido
def create_access_token(data: dict, db: Session):
    # Clona el diccionario con los datos del usuario (normalmente contiene el username)
    to_encode = data.copy()

    # Calcula la fecha de expiraci√≥n sumando minutos definidos en la configuraci√≥n
    expire = datetime.now() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)

    # Agrega la expiraci√≥n al payload
    to_encode.update({"exp": expire})

    # Codifica el JWT con la clave secreta y el algoritmo definido
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

# Funci√≥n para obtener el usuario actual autenticado, usando el token enviado
def get_current_user(token: str = Depends(oauth2_scheme), db: Session = Depends(get_db)):
    try:
        # Decodifica el token para obtener los datos del usuario (payload)
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])

        # Busca el usuario en la base de datos usando el campo "sub" del token (sujeto)
        user = db.query(User).filter_by(username=payload["sub"]).first()

        # Si el usuario no existe, lanza un error 403 (Prohibido)
        if user is None:
            raise HTTPException(status_code=403, detail="Usuario no encontrado")

        # Si todo es correcto, retorna el usuario autenticado
        return user

    # Captura errores de decodificaci√≥n del token (token inv√°lido o expirado)
    except JWTError:
        raise HTTPException(status_code=403, detail="Token inv√°lido")


routes/auth_routes.py

In [None]:
# Importa herramientas de FastAPI para crear rutas, manejar dependencias y lanzar excepciones HTTP
from fastapi import APIRouter, Depends, HTTPException

# Importa el formulario estandarizado OAuth2 para recibir username y password
from fastapi.security import OAuth2PasswordRequestForm

# Importa la clase Session de SQLAlchemy para manejar la conexi√≥n con la base de datos
from sqlalchemy.orm import Session

# Importa la funci√≥n para obtener una sesi√≥n activa de la base de datos (inyecci√≥n de dependencia)
from database.session import get_db

# Importa las funciones del servicio de autenticaci√≥n (registro, login, token, usuario actual)
from services.auth_service import create_user, authenticate_user, create_access_token, get_current_user

# Importa los esquemas para entrada y salida de datos del usuario y del token
from schemas.user_task import UserCreate, UserOut, Token

# Importa el modelo ORM del usuario para usarlo en validaciones y dependencias
from models.user_task import User

# Crea un router para todas las rutas relacionadas con autenticaci√≥n
router = APIRouter(prefix="/auth", tags=["auth"])

# Ruta para registrar un nuevo usuario
@router.post("/register", response_model=UserOut)
def register(user: UserCreate, db: Session = Depends(get_db)):
    # Validaci√≥n personalizada: username debe tener entre 4 y 20 caracteres
    if len(user.username) < 4 or len(user.username) > 20:
        raise HTTPException(status_code=400, detail="El nombre de usuario debe tener entre 4 y 20 caracteres")
    
    # Validaci√≥n personalizada: la contrase√±a debe tener al menos 6 caracteres
    if len(user.password) < 6:
        raise HTTPException(status_code=400, detail="La contrase√±a debe tener al menos 6 caracteres")
    
    # Validaci√≥n personalizada: solo se permite rol "user" o "admin"
    if user.role not in ["user", "admin"]:
        raise HTTPException(status_code=400, detail="Rol inv√°lido")
    
    # Si todas las validaciones pasan, se crea el usuario en la base de datos
    return create_user(user, db)

# Ruta para hacer login y obtener el token JWT
@router.post("/login", response_model=Token)
def login(form_data: OAuth2PasswordRequestForm = Depends(), db: Session = Depends(get_db)):
    # Verifica que las credenciales sean v√°lidas
    user = authenticate_user(form_data.username, form_data.password, db)

    # Si no se autentica, lanza error 401 (no autorizado)
    if not user:
        raise HTTPException(status_code=401, detail="Credenciales inv√°lidas")
    
    # Genera el token JWT con username y rol como payload
    token = create_access_token({"sub": user.username, "role": user.role}, db)
    
    # Retorna el token y su tipo (bearer)
    return {"access_token": token, "token_type": "bearer"}

# Ruta para obtener el usuario actualmente autenticado (token obligatorio)
@router.get("/me", response_model=UserOut)
def get_me(current_user: User = Depends(get_current_user)):
    # Retorna los datos del usuario actual si el token es v√°lido
    return current_user

# Ruta protegida que solo puede ser accedida por usuarios con rol "admin"
@router.get("/admin")
def admin_route(current_user: User = Depends(get_current_user)):
    # Si el usuario no es administrador, lanza un error 403 (prohibido)
    if current_user.role != "admin":
        raise HTTPException(status_code=403, detail="Solo administradores")
    
    # Si es administrador, retorna un mensaje de bienvenida
    return {"msg": f"Bienvenido, admin {current_user.username}"}


streamlit_app.py

In [None]:
# Importa la biblioteca Streamlit para crear interfaces gr√°ficas web
import streamlit as st

# Importa requests para hacer llamadas HTTP a la API FastAPI
import requests

# Direcci√≥n base de la API local de FastAPI
API_BASE_URL = "http://localhost:8000"

# Configura el t√≠tulo y el √≠cono de la pesta√±a del navegador
st.set_page_config(page_title="Gesti√≥n de Cuentas", page_icon="üîê")

# T√≠tulo principal de la p√°gina
st.title("Sistema de Gesti√≥n de Cuentas")

# Men√∫ lateral para seleccionar entre Registro y Login
menu = ["Registro", "Login"]
choice = st.sidebar.selectbox("Men√∫", menu)

# Variables de sesi√≥n para manejar login persistente
if "token" not in st.session_state:
    st.session_state.token = None
if "user" not in st.session_state:
    st.session_state.user = None

# --- REGISTRO DE USUARIOS ---
if choice == "Registro":
    st.subheader("Crear nuevo usuario")
    
    # Formulario para registrar nuevos usuarios
    with st.form("register_form", clear_on_submit=True):
        username = st.text_input("Usuario", help="4-20 caracteres")
        password = st.text_input("Contrase√±a", type="password", help="M√≠nimo 6 caracteres")
        role = st.selectbox("Rol", ["user", "admin"])
        submit = st.form_submit_button("Registrar")
        
        if submit:
            # Validaciones m√≠nimas antes de enviar al backend
            if len(username) < 4 or len(username) > 20:
                st.error("El usuario debe tener entre 4 y 20 caracteres")
            elif len(password) < 6:
                st.error("La contrase√±a debe tener al menos 6 caracteres")
            else:
                # Datos a enviar a la API para crear usuario
                data = {"username": username, "password": password, "role": role}
                try:
                    # Enviar POST a /auth/register
                    r = requests.post(f"{API_BASE_URL}/auth/register", json=data)
                    if r.status_code == 200:
                        st.success(f"‚úÖ Usuario '{username}' creado correctamente")
                    else:
                        st.error(f"‚ùå Error: {r.json().get('detail', r.text)}")
                except Exception as e:
                    st.error(f"‚ùå Error de conexi√≥n: {e}")

# --- LOGIN DE USUARIOS ---
if choice == "Login":
    st.subheader("Iniciar sesi√≥n")
    
    # Formulario para ingresar usuario y contrase√±a
    with st.form("login_form", clear_on_submit=True):
        username = st.text_input("Usuario")
        password = st.text_input("Contrase√±a", type="password")
        submit = st.form_submit_button("Entrar")
        
        if submit:
            # Validaci√≥n b√°sica
            if not username or not password:
                st.warning("‚ö†Ô∏è Completa usuario y contrase√±a")
            else:
                # Datos a enviar al endpoint /auth/login
                data = {"username": username, "password": password}
                try:
                    # Login usando x-www-form-urlencoded (OAuth2PasswordRequestForm)
                    r = requests.post(f"{API_BASE_URL}/auth/login", data=data)
                    if r.status_code == 200:
                        # Guarda el token JWT en sesi√≥n
                        token = r.json()["access_token"]
                        st.session_state.token = token
                        st.success("‚úÖ Login exitoso")
                        
                        # Llama a /auth/me para obtener los datos del usuario
                        headers = {"Authorization": f"Bearer {token}"}
                        r2 = requests.get(f"{API_BASE_URL}/auth/me", headers=headers)
                        if r2.status_code == 200:
                            st.session_state.user = r2.json()
                        else:
                            st.session_state.user = None
                    else:
                        st.error("‚ùå Credenciales inv√°lidas")
                except Exception as e:
                    st.error(f"‚ùå Error de conexi√≥n: {e}")

    # Mostrar informaci√≥n del usuario si est√° autenticado
    if st.session_state.token and st.session_state.user:
        st.success(f"üëã Bienvenido, {st.session_state.user['username']} (rol: {st.session_state.user['role']})")
        
        # Bot√≥n para cerrar sesi√≥n
        if st.button("üö™ Cerrar Sesi√≥n"):
            st.session_state.token = None
            st.session_state.user = None
            st.success("‚úÖ Sesi√≥n cerrada correctamente")
            st.rerun()
        
        # Si el usuario es admin, intenta acceder a ruta protegida para administradores
        if st.session_state.user["role"] == "admin":
            headers = {"Authorization": f"Bearer {st.session_state.token}"}
            r = requests.get(f"{API_BASE_URL}/auth/admin", headers=headers)
            if r.status_code == 200:
                st.info("üîê Tienes acceso a la ruta de administrador.")
            else:
                st.warning("‚ö†Ô∏è No tienes acceso a la ruta de administrador.")
        else:
            st.info("üë§ Eres un usuario est√°ndar.")


.env

In [None]:
SECRET_KEY='123456'
POSTGRES_USER=postgres
POSTGRES_PASSWORD=1126254560
POSTGRES_DB=secure_db
POSTGRES_HOST=localhost
POSTGRES_PORT=5432
