# CLASE 1: Fundamentos de autenticación y generación de JWT

## Objetivos de Aprendizaje

* Comprender el flujo de autenticación en sistemas reales.
* Implementar autenticación básica con tokens JWT en una API REST.
* Aplicar principios de seguridad y calidad de código al trabajar con credenciales y tokens.

---


## Estructura de la clase (4 horas)

| Hora | Tema                                                      |
| ---- | --------------------------------------------------------- |
| 1    | Introducción a JWT y fundamentos de autenticación         |
| 2    | Instalación, generación y verificación de tokens          |
| 3    | Simulación de login y validación de expiración            |
| 4    | Refactor de controladores y rutas protegidas              |
| 5    | Proyecto en clase: API con login + JWT                    |
| 6    | Validaciones, pruebas con errores y refuerzo de seguridad |

---


## Contenidos Detallados

### 1. ¿Qué es un token JWT y cómo funciona?


* **JWT (JSON Web Token)**: estándar abierto ([RFC 7519](https://datatracker.ietf.org/doc/html/rfc7519)) que define una forma compacta y segura de transmitir información entre partes como un objeto JSON.
* **Estructura**:
  `header.payload.signature` (codificados en Base64URL).
* **Ventajas**:

  * Stateless
  * Escalable
  * Seguro si se aplica correctamente
* **Uso común**:

  * Autenticación (Auth)
  * Autorización (Access Control)

> **Buenas prácticas**: Usar algoritmos robustos como HS256 o RS256. Evitar JWT sin expiración.

---


### 2. Instalación y uso de `python-jose` y `passlib`



*Script para generar el archivo requirements.txt con las dependencias del proyecto*

In [None]:
import subprocess
import sys
import time

# Constantes
SEPARADOR = "─" * 50
PYTHON_VERSION_MIN = (3, 8)

# Lista de dependencias necesarias para el proyecto
# Versiones compatibles para evitar errores de bcrypt con passlib
dependencias = [
    "python-jose[cryptography]\n",
    "passlib\n",
    "bcrypt\n",
    "fastapi[standard]\n",
    "uvicorn[standard]\n",
    "sqlalchemy\n",
    "psycopg2-binary\n",
    "python-dotenv\n",
    "pydantic\n",
    "pydantic-settings\n",
    "python-multipart\n"
]

def verificar_version_python():
    """Verifica que la versión de Python sea compatible."""
    if sys.version_info < PYTHON_VERSION_MIN:
        print(f"Error: Se requiere Python {PYTHON_VERSION_MIN[0]}.{PYTHON_VERSION_MIN[1]} o superior")
        print(f"Versión actual: {sys.version_info.major}.{sys.version_info.minor}")
        sys.exit(1)
    print(f"✓ Python {sys.version_info.major}.{sys.version_info.minor}.{sys.version_info.micro}")

def generar_requirements():
    """Genera el archivo requirements.txt con las dependencias."""
    with open("requirements.txt", "w", encoding="utf-8") as archivo:
        archivo.writelines(dependencias)
    
    print("Archivo 'requirements.txt' generado exitosamente")
    print("\nContenido generado:")
    print(SEPARADOR)
    with open("requirements.txt", "r", encoding="utf-8") as archivo:
        print(archivo.read())

def actualizar_pip():
    """Actualiza pip a la última versión."""
    print(SEPARADOR)
    print("\nActualizando pip...\n")
    
    # Mostrar versión actual
    try:
        version_actual = subprocess.check_output(
            [sys.executable, "-m", "pip", "--version"],
            stderr=subprocess.STDOUT
        ).decode().strip()
        print(f"Versión actual: {version_actual}")
    except:
        pass
    
    print()

    try:
        subprocess.check_call([sys.executable, "-m", "pip", "install", "--upgrade", "pip"])
        print("✓ pip actualizado correctamente")
        
        # Mostrar nueva versión
        version_nueva = subprocess.check_output(
            [sys.executable, "-m", "pip", "--version"],
            stderr=subprocess.STDOUT
        ).decode().strip()
        print(f"Nueva versión: {version_nueva}")
        return True
    except subprocess.CalledProcessError as e:
        print(f"\nAdvertencia: No se pudo actualizar pip: {e}")
        return False

def actualizar_pyasn1():
    """Actualiza el módulo pyasn1-modules."""
    print("\nActualizando pyasn1-modules...\n")
    try:
        subprocess.check_call([sys.executable, "-m", "pip", "install", "--upgrade", "pyasn1-modules"])
        print("✓ pyasn1-modules actualizado correctamente")
        return True
    except subprocess.CalledProcessError as e:
        print(f"\nAdvertencia: No se pudo actualizar pyasn1-modules: {e}")
        return False

def instalar_dependencias():
    """Instala las dependencias desde requirements.txt."""
    print("\nInstalando dependencias del proyecto...\n")
    try:
        subprocess.check_call([sys.executable, "-m", "pip", "install", "-r", "requirements.txt"])
        print("\n✓ ¡Dependencias instaladas exitosamente!")
        return True
    except subprocess.CalledProcessError as e:
        print(f"\nError al instalar dependencias: {e}")
        return False
    except Exception as e:
        print(f"\nError inesperado: {e}")
        return False

def mostrar_versiones_instaladas():
    """Muestra las versiones de los paquetes principales instalados."""
    print("\n" + SEPARADOR)
    print("\nVERSIONES INSTALADAS:")
    print(SEPARADOR)
    
    # Lista de paquetes principales a verificar
    paquetes_principales = [
        "python-jose",
        "passlib",
        "bcrypt",
        "fastapi",
        "uvicorn",
        "sqlalchemy",
        "psycopg2-binary",
        "python-dotenv",
        "pydantic",
        "pydantic-settings",
        "python-multipart"
    ]
    
    instalados = 0
    no_instalados = 0
    
    for paquete in paquetes_principales:
        try:
            resultado = subprocess.check_output(
                [sys.executable, "-m", "pip", "show", paquete],
                stderr=subprocess.STDOUT
            ).decode()
            
            # Extraer la versión del resultado
            for linea in resultado.split('\n'):
                if linea.startswith('Version:'):
                    version = linea.split(':', 1)[1].strip()
                    print(f"  {paquete:<25} {version}")
                    instalados += 1
                    break
        except subprocess.CalledProcessError:
            print(f"  {paquete:<25} No instalado")
            no_instalados += 1
    
    print(SEPARADOR)
    return instalados, no_instalados

def main():
    """Función principal que ejecuta todo el proceso."""
    tiempo_inicio = time.time()
    
    print(SEPARADOR)
    print("INSTALADOR DE DEPENDENCIAS FASTAPI")
    print(SEPARADOR)
    
    # Verificar versión de Python
    verificar_version_python()
    
    # Generar requirements.txt
    generar_requirements()
    
    # Actualizar pip
    pip_ok = actualizar_pip()
    
    # Actualizar pyasn1-modules
    pyasn1_ok = actualizar_pyasn1()
    
    # Instalar dependencias
    deps_ok = instalar_dependencias()
    
    # Mostrar versiones
    instalados, no_instalados = mostrar_versiones_instaladas()
    
    # Resumen final
    tiempo_total = time.time() - tiempo_inicio
    print("\n" + SEPARADOR)
    print("RESUMEN DE INSTALACIÓN:")
    print(SEPARADOR)
    print(f"  Pip actualizado:           {'✓' if pip_ok else '✗'}")
    print(f"  pyasn1-modules actualizado: {'✓' if pyasn1_ok else '✗'}")
    print(f"  Dependencias instaladas:    {'✓' if deps_ok else '✗'}")
    print(f"  Paquetes instalados:        {instalados}/{instalados + no_instalados}")
    print(f"  Tiempo total:               {tiempo_total:.2f} segundos")
    print(SEPARADOR)
    
    if deps_ok and no_instalados == 0:
        print("\n✓ ¡Instalación completada exitosamente!")
    else:
        print("\n⚠ Instalación completada con advertencias")

if __name__ == "__main__":
    main()


#### Función Básica para generar un token

In [None]:
# Importa la librería 'jwt' del paquete 'python-jose',
# usada para codificar y decodificar tokens JWT (JSON Web Tokens)
from jose import jwt

# Importa utilidades de la librería estándar 'datetime':
# - datetime: para obtener la fecha y hora actuales
# - timedelta: para sumar o restar tiempo
# - timezone: para establecer zonas horarias (en este caso, UTC)
from datetime import datetime, timedelta, timezone

# Importa 'secrets' para generar claves criptográficamente seguras
import secrets

# Clave secreta generada de forma segura para firmar el token.
# En producción, guárdala en variables de entorno, no la generes cada vez.
SECRET_KEY = secrets.token_urlsafe(32)  # Genera una clave aleatoria de 32 bytes

# Algoritmo de firma utilizado para asegurar el token.
# HS256 es HMAC con SHA-256, un estándar seguro y comúnmente usado.
ALGORITHM = "HS256"


def main():
    """Función principal que demuestra la creación de un token JWT"""
    
    # Diccionario que representa el 'payload' del token JWT:
    # - 'sub' (subject): identificador del usuario autenticado
    # - 'exp' (expiration): momento exacto en que el token expira,
    #   calculado como 30 minutos desde el momento actual en UTC
    data = {
        "sub": "usuario123",  # Identificador del usuario (puede ser ID, username, etc.)
        "exp": datetime.now(timezone.utc) + timedelta(minutes=30)  # Expiración segura del token
    }
    
    # Genera un token JWT:
    # - Incluye el 'payload' definido en 'data'
    # - Lo firma usando la clave secreta (SECRET_KEY)
    # - Utiliza el algoritmo de firma definido (HS256)
    token = jwt.encode(data, SECRET_KEY, algorithm=ALGORITHM)
    
    # Mostrar el token generado
    print("Token JWT generado:")
    print(token)


# Punto de entrada del programa
if __name__ == "__main__":
    main()

---

### 3. Generación y verificación de tokens


#### Función reutilizable: Crear y verificar token:



In [None]:
from jose import jwt
from datetime import datetime, timedelta, timezone
import secrets

# Clave secreta generada de forma segura para firmar el token JWT
# En producción, guarda esta clave en variables de entorno, no la generes cada vez
SECRET_KEY = secrets.token_urlsafe(32)

# Algoritmo de firma utilizado (HS256 es uno de los más comunes)
ALGORITHM = "HS256"

# Función para crear un token JWT
def crear_token(datos: dict, expiracion: int = 30):
    # Se crea una copia del diccionario de datos para no modificar el original
    to_encode = datos.copy()

    # Se calcula la fecha y hora de expiración del token (actual + minutos definidos)
    # Usamos datetime.now(timezone.utc) para que sea timezone-aware y evitar warnings
    expire = datetime.now(timezone.utc) + timedelta(minutes=expiracion)

    # Se agrega el campo 'exp' al diccionario, obligatorio para definir la expiración del token
    to_encode.update({"exp": expire})

    # Se genera el token JWT codificado y firmado con la clave y el algoritmo especificado
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)


# Función para verificar y decodificar un token JWT
def verificar_token(token: str):
    try:
        # Decodifica el token usando la misma clave y algoritmo con que fue creado
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload  # Retorna los datos del token si es válido
    except jwt.ExpiredSignatureError:
        print("Error: El token ha expirado")
        return None
    except jwt.JWTError:
        print("Error: Token inválido")
        return None


def main():
    """Función principal que demuestra el uso de JWT"""
    
    # Datos de ejemplo para el token
    datos_usuario = {"sub": "usuario123", "rol": "admin"}
    
    # Crear token con datos de usuario
    token_generado = crear_token(datos_usuario)
    
    # Imprimir el token para mostrarlo
    print("Token JWT generado:", token_generado)
    
    # Verificar el token recién creado
    print("\n--- Verificación del token ---")
    datos_decodificados = verificar_token(token_generado)
    if datos_decodificados:
        print("Token válido. Datos:", datos_decodificados)


# Punto de entrada del programa
if __name__ == "__main__":
    main()


> **Buenas prácticas**:
>
> * Nunca expongas `SECRET_KEY` en el código. Usa variables de entorno.
> * Agrega validaciones explícitas para `exp`, `sub`, `aud`.

---


### 4. Simulación de login con usuario y contraseña

En un sistema real, cuando un usuario se registra o inicia sesión, nunca guardamos ni comparamos la contraseña en texto plano (es decir, tal cual la escribe el usuario), porque sería un riesgo enorme de seguridad si alguien accede a la base de datos.

### ¿Qué hacemos entonces?

Guardamos un **hash** de la contraseña, que es una transformación irreversible de la contraseña original. Así, aunque alguien acceda a la base de datos, no podrá ver las contraseñas reales.

Para hacer esto correctamente, usamos librerías especializadas como **Passlib** en Python.

---

### ¿Qué es Passlib?

**Passlib** es una librería de Python que facilita:

* Crear hashes seguros de contraseñas.
* Verificar contraseñas contra esos hashes.
* Usar algoritmos robustos y modernos (como bcrypt, argon2, pbkdf2\_sha256, etc.).
* Manejar sal (salt), que es un dato aleatorio que hace más seguro el hash.

---

### ¿Cómo funciona en el login?

1. Cuando un usuario se registra, su contraseña se convierte en un hash con Passlib y se guarda el hash (no la contraseña original).

2. Cuando un usuario intenta iniciar sesión, se toma la contraseña que escribe, se hashea y se compara con el hash almacenado.

3. Si coinciden, el login es exitoso.

---

### Ejemplo básico con Passlib (argon2):


In [None]:
from passlib.context import CryptContext

# Constante para el esquema de hashing
HASH_SCHEME = "argon2"

# Crear contexto para hashing con bcrypt (uno de los algoritmos más seguros)
pwd_context = CryptContext(schemes=[HASH_SCHEME], deprecated="auto")

# Hash de la contraseña para guardar en base de datos (registro)
def hash_password(password: str) -> str:
    return pwd_context.hash(password)

# Verificar contraseña durante login (lanza excepción si es incorrecta)
def verify_password(plain_password: str, hashed_password: str):
    if not pwd_context.verify(plain_password, hashed_password):
        raise ValueError("Contraseña incorrecta")


def main():
    """Función principal que ejecuta las demostraciones"""
    
    # Simulación de registro de usuario
    print("=== REGISTRO DE USUARIO ===")
    password_registro = input("Introduce una contraseña para registrar: ")
    hashed = hash_password(password_registro)
    print(f"Hash generado: {hashed}")
    
    print("\n--- Prueba de contraseña ---")
    try:
        verify_password(password_registro, hashed)
        print("¡Contraseña correcta! Login exitoso.")
    except ValueError as e:
        print(f"ERROR: {e}")
    
# Punto de entrada del programa
if __name__ == "__main__":
    main()


---

### ¿Por qué es importante?

* No guardas contraseñas en texto plano (nunca).
* Con Passlib evitas muchos errores comunes en hashing manual.
* Aumenta la seguridad general del sistema.
* Facilita futuras actualizaciones a algoritmos más seguros.

---


#### Login:



In [None]:
# Imports
from fastapi import FastAPI, HTTPException, Header
from passlib.context import CryptContext
from jose import jwt, JWTError
from datetime import datetime, timedelta, timezone
from pydantic import BaseModel, Field
import secrets

# Constantes de configuración
HASH_SCHEME = "argon2"
SECRET_KEY = secrets.token_urlsafe(32)  # Clave secreta generada de forma segura
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# Modelos Pydantic
class LoginData(BaseModel):
    username: str = Field(examples=["usuario1"])
    password: str = Field(examples=["miPassword123"])

class RegistroData(BaseModel):
    username: str = Field(examples=["usuario1"])
    password: str = Field(examples=["miPassword123"])

# Inicialización de la aplicación
app = FastAPI()

# Contexto de encriptación y base de datos de usuarios
pwd_context = CryptContext(schemes=[HASH_SCHEME], deprecated="auto")
usuarios = {}

# Funciones auxiliares
def hashear_password(password: str) -> str:
    return pwd_context.hash(password)

def verificar_password(plain_password: str, hashed_password: str) -> bool:
    return pwd_context.verify(plain_password, hashed_password)

def crear_token(data: dict, expiracion: int = ACCESS_TOKEN_EXPIRE_MINUTES):
    to_encode = data.copy()  # Copia los datos para no modificar el original
    expire = datetime.now(timezone.utc) + timedelta(minutes=expiracion)  # Calcula fecha de expiración en UTC
    to_encode.update({"exp": expire})  # Agrega la expiración al payload
    # Codifica el token con la clave secreta y el algoritmo definido
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

def verificar_token(token: str):
    """Verifica y decodifica un token JWT"""
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise HTTPException(status_code=401, detail="Token inválido")
        return username
    except JWTError:
        raise HTTPException(status_code=401, detail="Token inválido o expirado")

# Rutas/Endpoints

# Ruta pública de bienvenida
@app.get("/")
async def inicio():
    """Ruta pública de bienvenida"""
    return {"mensaje": "API de autenticación JWT"}

# Ruta de registro de usuarios
@app.post("/registro")
async def registrar_usuario(datos: RegistroData):
    """Registra un nuevo usuario"""
    if datos.username in usuarios:
        raise HTTPException(status_code=400, detail="El usuario ya existe")
    
    usuarios[datos.username] = hashear_password(datos.password)
    
    return {
        "success": True,
        "mensaje": "Usuario registrado exitosamente",
        "usuario": {
            "username": datos.username,
            "registrado_en": datetime.now(timezone.utc).isoformat()
        }
    }

# Ruta de login
@app.post("/login")
async def login(datos: LoginData):
    """Inicia sesión y retorna un token JWT"""
    user_pass = usuarios.get(datos.username)  # Obtiene la contraseña hasheada del usuario
    if not user_pass or not verificar_password(datos.password, user_pass):
        raise HTTPException(status_code=401, detail="Credenciales inválidas")
    
    token = crear_token({"sub": datos.username})
    
    return {
        "success": True,
        "mensaje": "Login exitoso",
        "access_token": token,
        "token_type": "bearer",
        "expires_in": ACCESS_TOKEN_EXPIRE_MINUTES * 60,  # En segundos
        "usuario": {
            "username": datos.username
        }
    }

# Función main
def main():
    """Función principal para iniciar el servidor"""
    import uvicorn
    import webbrowser
    import threading
    
    # Función para abrir el navegador después de que el servidor inicie
    def abrir_navegador():
        import time
        time.sleep(1.5)  # Espera a que el servidor esté listo
        webbrowser.open("http://127.0.0.1:8000/docs")
    
    # Ejecutar en un hilo separado
    threading.Thread(target=abrir_navegador, daemon=True).start()
    
    # Iniciar el servidor con recarga automática
    uvicorn.run("main:app", host="127.0.0.1", port=8000, reload=True)

# Punto de entrada del programa
if __name__ == "__main__":
    main()


3. Ejecuta el servidor:

```bash
python main.py
```


## **Proyecto por capas**

```
app/
├── main.py
├── auth/
│   ├── auth_handler.py      # lógica JWT
│   ├── auth_service.py      # hash/verify
│   ├── dependencies.py      # middleware para FastAPI
├── core/
│   └── database.py          # conexión a PostgreSQL
├── models/
│   └── user.py              # modelo ORM
├── routes/
│   └── user_routes.py       # rutas
├── schemas/
│   └── user_schemas.py       # rutas

```

---


Veamos capa por capa:


### **1. `main.py`**

Es el **punto de entrada** de la aplicación. Aquí se:

* Inicializa la app FastAPI.
* Se configuran las rutas (importadas desde `routes/`).
* Se agregan middlewares globales (CORS, logging, etc.).
* Se levanta el servidor.

---

### **2. `auth/` – Capa de autenticación**

```
├── auth/
│   ├── auth_handler.py      # lógica JWT
│   ├── auth_service.py      # hash/verify
│   ├── dependencies.py      # middleware para FastAPI
```

Contiene **toda la lógica relacionada con seguridad y autenticación**, separada del resto del código.

* **`auth_handler.py`**
  Maneja la generación y verificación de **tokens JWT (JSON Web Tokens)**.
  Aquí se definen funciones como `create_access_token()` y `decode_token()`.

* **`auth_service.py`**
  Encargado de **hashear contraseñas**, verificarlas y posiblemente manejar el login.

* **`dependencies.py`**
  Define **dependencias de seguridad** para FastAPI, como `get_current_user()` o validadores de token que se inyectan en las rutas.

---

###  **3. `core/` – Capa de configuración y servicios básicos**

```
├── core/
│   └── database.py          # conexión a PostgreSQL
```

* **`database.py`**
  Aquí se establece la **conexión a la base de datos** (por ejemplo, PostgreSQL).
  Define el motor SQLAlchemy, la sesión y la base `Base` del ORM.

---

### **4. `models/` – Capa de datos (ORM)**

```
├── models/
│   └── user.py              # modelo ORM
```

* **`user.py`**
  Define los **modelos ORM** que representan las tablas de la base de datos.
  Por ejemplo, la tabla `users` con sus columnas y tipos de datos.

### **5. `routes/` – Capa de controladores o endpoints**

```
├── routes/
│   └── user_routes.py       # rutas
```

* **`user_routes.py`**
  Define las **rutas HTTP (GET, POST, PUT, DELETE)** que los clientes pueden consumir.
  Aquí se importa la lógica de `auth`, `schemas`, `models` y `database`.

---

### **6. `schemas/` – Capa de validación y transferencia de datos (Pydantic)**

```
├── schemas/
│   └── user_schemas.py       # rutas
```

* **`user_schemas.py`**
  Define los **esquemas Pydantic**, que se usan para validar la entrada y salida de datos en las rutas (no son tablas, sino estructuras de datos para la API).

---


### **Resumen de las capas:**

| Capa         | Propósito                           | Ejemplo de archivo |
| ------------ | ----------------------------------- | ------------------ |
| **main.py**  | Entrada principal de la app         | `main.py`          |
| **auth/**    | Manejo de autenticación y seguridad | `auth_handler.py`  |
| **core/**    | Configuración base del sistema      | `database.py`      |
| **models/**  | Modelos ORM (tablas)                | `user.py`          |
| **schemas/** | Validación de datos (Pydantic)      | `user_schemas.py`  |
| **routes/**  | Endpoints y lógica de negocio       | `user_routes.py`   |

---


## Paso 0: `requirements.txt`

In [None]:
import subprocess
import sys
import time

# Constantes
SEPARADOR = "─" * 50
PYTHON_VERSION_MIN = (3, 8)

# Lista de dependencias necesarias para el proyecto
# Versiones compatibles para evitar errores de bcrypt con passlib
dependencias = [
    "python-jose[cryptography]\n",
    "passlib\n",
    "bcrypt\n",
    "fastapi[standard]\n",
    "uvicorn[standard]\n",
    "sqlalchemy\n",
    "psycopg2-binary\n",
    "python-dotenv\n",
    "pydantic\n",
    "pydantic-settings\n",
    "python-multipart\n"
]

def verificar_version_python():
    """Verifica que la versión de Python sea compatible."""
    if sys.version_info < PYTHON_VERSION_MIN:
        print(f"Error: Se requiere Python {PYTHON_VERSION_MIN[0]}.{PYTHON_VERSION_MIN[1]} o superior")
        print(f"Versión actual: {sys.version_info.major}.{sys.version_info.minor}")
        sys.exit(1)
    print(f"✓ Python {sys.version_info.major}.{sys.version_info.minor}.{sys.version_info.micro}")

def generar_requirements():
    """Genera el archivo requirements.txt con las dependencias."""
    with open("requirements.txt", "w", encoding="utf-8") as archivo:
        archivo.writelines(dependencias)
    
    print("Archivo 'requirements.txt' generado exitosamente")
    print("\nContenido generado:")
    print(SEPARADOR)
    with open("requirements.txt", "r", encoding="utf-8") as archivo:
        print(archivo.read())

def actualizar_pip():
    """Actualiza pip a la última versión."""
    print(SEPARADOR)
    print("\nActualizando pip...\n")
    
    # Mostrar versión actual
    try:
        version_actual = subprocess.check_output(
            [sys.executable, "-m", "pip", "--version"],
            stderr=subprocess.STDOUT
        ).decode().strip()
        print(f"Versión actual: {version_actual}")
    except:
        pass
    
    print()

    try:
        subprocess.check_call([sys.executable, "-m", "pip", "install", "--upgrade", "pip"])
        print("✓ pip actualizado correctamente")
        
        # Mostrar nueva versión
        version_nueva = subprocess.check_output(
            [sys.executable, "-m", "pip", "--version"],
            stderr=subprocess.STDOUT
        ).decode().strip()
        print(f"Nueva versión: {version_nueva}")
        return True
    except subprocess.CalledProcessError as e:
        print(f"\nAdvertencia: No se pudo actualizar pip: {e}")
        return False

def actualizar_pyasn1():
    """Actualiza el módulo pyasn1-modules."""
    print("\nActualizando pyasn1-modules...\n")
    try:
        subprocess.check_call([sys.executable, "-m", "pip", "install", "--upgrade", "pyasn1-modules"])
        print("✓ pyasn1-modules actualizado correctamente")
        return True
    except subprocess.CalledProcessError as e:
        print(f"\nAdvertencia: No se pudo actualizar pyasn1-modules: {e}")
        return False

def instalar_dependencias():
    """Instala las dependencias desde requirements.txt."""
    print("\nInstalando dependencias del proyecto...\n")
    try:
        subprocess.check_call([sys.executable, "-m", "pip", "install", "-r", "requirements.txt"])
        print("\n✓ ¡Dependencias instaladas exitosamente!")
        return True
    except subprocess.CalledProcessError as e:
        print(f"\nError al instalar dependencias: {e}")
        return False
    except Exception as e:
        print(f"\nError inesperado: {e}")
        return False

def mostrar_versiones_instaladas():
    """Muestra las versiones de los paquetes principales instalados."""
    print("\n" + SEPARADOR)
    print("\nVERSIONES INSTALADAS:")
    print(SEPARADOR)
    
    # Lista de paquetes principales a verificar
    paquetes_principales = [
        "python-jose",
        "passlib",
        "bcrypt",
        "fastapi",
        "uvicorn",
        "sqlalchemy",
        "psycopg2-binary",
        "python-dotenv",
        "pydantic",
        "pydantic-settings",
        "python-multipart"
    ]
    
    instalados = 0
    no_instalados = 0
    
    for paquete in paquetes_principales:
        try:
            resultado = subprocess.check_output(
                [sys.executable, "-m", "pip", "show", paquete],
                stderr=subprocess.STDOUT
            ).decode()
            
            # Extraer la versión del resultado
            for linea in resultado.split('\n'):
                if linea.startswith('Version:'):
                    version = linea.split(':', 1)[1].strip()
                    print(f"  {paquete:<25} {version}")
                    instalados += 1
                    break
        except subprocess.CalledProcessError:
            print(f"  {paquete:<25} No instalado")
            no_instalados += 1
    
    print(SEPARADOR)
    return instalados, no_instalados

def main():
    """Función principal que ejecuta todo el proceso."""
    tiempo_inicio = time.time()
    
    print(SEPARADOR)
    print("INSTALADOR DE DEPENDENCIAS FASTAPI")
    print(SEPARADOR)
    
    # Verificar versión de Python
    verificar_version_python()
    
    # Generar requirements.txt
    generar_requirements()
    
    # Actualizar pip
    pip_ok = actualizar_pip()
    
    # Actualizar pyasn1-modules
    pyasn1_ok = actualizar_pyasn1()
    
    # Instalar dependencias
    deps_ok = instalar_dependencias()
    
    # Mostrar versiones
    instalados, no_instalados = mostrar_versiones_instaladas()
    
    # Resumen final
    tiempo_total = time.time() - tiempo_inicio
    print("\n" + SEPARADOR)
    print("RESUMEN DE INSTALACIÓN:")
    print(SEPARADOR)
    print(f"  Pip actualizado:           {'✓' if pip_ok else '✗'}")
    print(f"  pyasn1-modules actualizado: {'✓' if pyasn1_ok else '✗'}")
    print(f"  Dependencias instaladas:    {'✓' if deps_ok else '✗'}")
    print(f"  Paquetes instalados:        {instalados}/{instalados + no_instalados}")
    print(f"  Tiempo total:               {tiempo_total:.2f} segundos")
    print(SEPARADOR)
    
    if deps_ok and no_instalados == 0:
        print("\n✓ ¡Instalación completada exitosamente!")
    else:
        print("\n⚠ Instalación completada con advertencias")

if __name__ == "__main__":
    main()


## Paso 1: **`core/` – Capa de configuración y servicios básicos**

* **`database.py`**
  Aquí se establece la **conexión a la base de datos** (por ejemplo, PostgreSQL).
  Define el motor SQLAlchemy, la sesión y la base `Base` del ORM.

---


In [None]:
from sqlalchemy import create_engine  # Permite crear el motor de conexión a la base de datos
from sqlalchemy.ext.declarative import declarative_base  # Permite definir clases ORM que se traducen a tablas
from sqlalchemy.orm import sessionmaker  # Permite crear sesiones para interactuar con la base de datos
from sqlalchemy.exc import SQLAlchemyError  # Para capturar errores específicos de SQLAlchemy
import os  # Permite acceder a variables del sistema
from dotenv import load_dotenv  # Permite cargar variables desde un archivo .env al entorno del sistema

# Cargar las variables de entorno definidas en un archivo .env (si existe)
load_dotenv()

# Configuración de conexión con valores por defecto si no se encuentran en el entorno
DB_USER = os.getenv("DB_USER", "postgres")  # Usuario de la base de datos
DB_PASS = os.getenv("DB_PASS", "postgres")  # Contraseña del usuario
DB_HOST = os.getenv("DB_HOST", "localhost")  # Dirección del host de la base de datos (localhost en desarrollo)
DB_PORT = os.getenv("DB_PORT", "5432")  # Puerto donde escucha PostgreSQL
DB_NAME = os.getenv("DB_NAME", "db_ejemplo")  # Nombre de la base de datos

DATABASE_URL = f"postgresql://{DB_USER}:{DB_PASS}@{DB_HOST}:{DB_PORT}/{DB_NAME}"

try:
    engine = create_engine(DATABASE_URL)

    SessionLocal = sessionmaker(autocommit=False, autoflush=False, bind=engine)

    Base = declarative_base()

except SQLAlchemyError as e:
    raise Exception(f"Error al conectar con la base de datos: {str(e)}")

def get_db():
    db = SessionLocal()  # Se crea una nueva sesión a partir de SessionLocal
    try:
        yield db  # Se "entrega" la sesión al bloque que la necesite (por ejemplo, un endpoint)
    except SQLAlchemyError as e:
        db.rollback()  # Si ocurre un error, se hace rollback de cualquier cambio no confirmado
        raise Exception(f"Error en la operación de base de datos: {str(e)}")  # Se lanza una excepción personalizada
    finally:
        db.close()  # Siempre se cierra la sesión, haya error o no, para liberar recursos


# **2. `auth/` – Capa de autenticación**

Contiene **toda la lógica relacionada con seguridad y autenticación**, separada del resto del código.



## Paso 2: **`app/auth/auth_service.py`**

**`auth_service.py`**
  Encargado de **hashear contraseñas**, verificarlas y posiblemente manejar el login.


In [None]:
from passlib.context import CryptContext

# Contexto de encriptación y base de datos de usuarios
HASH_SCHEME = "argon2"

pwd_context = CryptContext(schemes=[HASH_SCHEME], deprecated="auto")

def hashear_password(password: str) -> str:
    return pwd_context.hash(password)

def verificar_password(plain_password: str, hashed_password: str) -> bool:
    return pwd_context.verify(plain_password, hashed_password)


---

## Paso 3: **`app/auth/auth_handler.py`**

**`auth_handler.py`**
  Maneja la generación y verificación de **tokens JWT (JSON Web Tokens)**.
  Aquí se definen funciones como `create_access_token()` y `decode_token()`.




In [None]:
from datetime import datetime, timedelta, timezone
from jose import jwt, JWTError
import os
import secrets
from dotenv import load_dotenv

# Cargar variables de entorno
load_dotenv()

# Configuración JWT desde variables de entorno
SECRET_KEY = os.getenv("SECRET_KEY")
if not SECRET_KEY:
    # Generar SECRET_KEY automáticamente con secrets si no existe
    SECRET_KEY = secrets.token_urlsafe(32)
    print(f"⚠️  ADVERTENCIA: SECRET_KEY no encontrada en .env")
    print(f"🔑 Usando clave temporal generada: {SECRET_KEY}")
    print(f"💡 Para producción, agrega esta clave a tu archivo .env")

ALGORITHM = os.getenv("ALGORITHM", "HS256")
ACCESS_TOKEN_EXPIRE_MINUTES = int(os.getenv("ACCESS_TOKEN_EXPIRE_MINUTES", "30"))

def crear_token(data: dict, expiracion: int = ACCESS_TOKEN_EXPIRE_MINUTES):
    to_encode = data.copy()
    
    expire = datetime.now(timezone.utc) + timedelta(minutes=expiracion)
    
    to_encode.update({"exp": expire})
    
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

def verificar_token(token: str):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except JWTError:
        return None


---

## Paso 4: **`app/auth/dependencies.py`**

**`dependencies.py`**
    Define **dependencias de seguridad** para FastAPI, como `get_current_user()` o validadores de token que se inyectan en las rutas.

---


In [None]:
# app/auth/dependencies.py

from fastapi import Depends, HTTPException, status
from fastapi.security import HTTPBearer, HTTPAuthorizationCredentials
from sqlalchemy.orm import Session
from core.database import get_db
from models.user import User
from auth.auth_handler import verificar_token

# Esquema de seguridad HTTP Bearer (para tokens JWT)
# Función que permite que el cliente presente un token en cada solicitud para que el servidor verifique su identidad.
security = HTTPBearer() 

async def get_current_user(
    # El objeto 'credentials' contiene el tipo de esquema y el token enviado por el cliente.
    # Inyecta automáticamente las credenciales de autorización HTTP (Bearer Token)
    # usando el esquema de seguridad definido en 'security'.
    credentials: HTTPAuthorizationCredentials = Depends(security),
    db: Session = Depends(get_db)
) -> User:
    """
    Dependency para obtener el usuario actual autenticado desde el token JWT.
    
    Args:
        credentials: Credenciales HTTP Bearer (token JWT)
        db: Sesión de base de datos
        
    Returns:
        User: Usuario autenticado
        
    Raises:
        HTTPException: Si el token es inválido o el usuario no existe
    """
    # Extraer el token del header Authorization
    token = credentials.credentials
    
    # Verificar y decodificar el token
    payload = verificar_token(token)
    
    if not payload:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Token inválido o expirado",
            headers={"WWW-Authenticate": "Bearer"},
        )
    
    # Obtener el username del payload
    username: str = payload.get("sub")
    if not username:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Token inválido: falta información del usuario",
            headers={"WWW-Authenticate": "Bearer"},
        )
    
    # Buscar el usuario en la base de datos
    user = db.query(User).filter(User.username == username).first()
    
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Usuario no encontrado",
            headers={"WWW-Authenticate": "Bearer"},
        )
    
    return user



---

## Paso 5. **`models/` – Capa de datos (ORM)**

**`app/models/user.py`**
  Define los **modelos ORM** que representan las tablas de la base de datos.
  Por ejemplo, la tabla `users` con sus columnas y tipos de datos.

---


In [None]:
from sqlalchemy import Column, Integer, String, DateTime, Boolean
from sqlalchemy.sql import func
from sqlalchemy.orm import validates
from core.database import Base
from datetime import datetime

class User(Base):
    """
    Modelo de usuario para la aplicación.
    
    Representa un usuario en el sistema con autenticación JWT.
    """
    __tablename__ = "users"
    
    # Campos principales
    id = Column(Integer, primary_key=True, index=True, comment="ID único del usuario")
    username = Column(
        String(50), 
        unique=True, 
        index=True, 
        nullable=False,
        comment="Nombre de usuario único"
    )
    hashed_password = Column(
        String(255), 
        nullable=False,
        comment="Contraseña hasheada del usuario"
    )
    
    # Campos de estado (opcional, para futuras funcionalidades)
    # is_active = Column(
    #     Boolean, 
    #     default=True, 
    #     nullable=False,
    #     comment="Indica si el usuario está activo"
    # )
    
    # Timestamps
    created_at = Column(
        DateTime(timezone=True), 
        server_default=func.now(),
        comment="Fecha y hora de creación del usuario"
    )
    updated_at = Column(
        DateTime(timezone=True), 
        onupdate=func.now(),
        comment="Fecha y hora de última actualización"
    )
    
    @validates('username')
    def validate_username(self, key, username):
        """Valida el formato del nombre de usuario"""
        if not username:
            raise ValueError("El nombre de usuario no puede estar vacío")
        if len(username) < 3:
            raise ValueError("El nombre de usuario debe tener al menos 3 caracteres")
        if len(username) > 50:
            raise ValueError("El nombre de usuario no puede tener más de 50 caracteres")
        # Comprueba que el nombre de usuario contenga únicamente caracteres permitidos.
        # 1. Se eliminan temporalmente '_' y '-' con replace().
        # 2. Se verifica con isalnum() que el resto del texto sea alfanumérico (solo letras y números).
        # 3. Si no cumple, la condición 'not' se activa, indicando que hay caracteres inválidos.
        if not username.replace('_', '').replace('-', '').isalnum():
            raise ValueError("El nombre de usuario solo puede contener letras, números, guiones y guiones bajos")
        return username.lower().strip()
    
    @validates('hashed_password')
    def validate_hashed_password(self, key, hashed_password):
        """Valida que la contraseña hasheada no esté vacía"""
        if not hashed_password:
            raise ValueError("La contraseña hasheada no puede estar vacía")
        return hashed_password
    
    def __repr__(self):
        """Representación string del objeto User"""
        # Método especial que devuelve una representación en texto del objeto.
        # Se usa para mostrar información útil durante la depuración o al imprimir instancias de User.
        return f"<User(id={self.id}, username='{self.username}')>"
    
    def to_dict(self):
        """Convierte el usuario a diccionario (sin contraseña)"""
        return {
            'id': self.id,
            'username': self.username,
            'created_at': self.created_at.isoformat() if self.created_at else None,
            'updated_at': self.updated_at.isoformat() if self.updated_at else None
        }


---

## **Paso 6. `schemas/` – Capa de validación y transferencia de datos (Pydantic)**

**`app/schemas/user_schemas.py`**
    Define los **esquemas Pydantic**, que se usan para validar la entrada y salida de datos en las rutas (no son tablas, sino estructuras de datos para la API).

---


In [None]:
# app/schemas/user_schemas.py

from pydantic import BaseModel, Field, ConfigDict
from datetime import datetime
from typing import Optional

# ------------------------------------------------------------
# Schema para crear un nuevo usuario (registro)
class UserCreate(BaseModel):
    """Schema para el registro de nuevos usuarios"""
    username: str = Field(..., min_length=3, max_length=50, description="Nombre de usuario único", examples=["juan_perez"])
    password: str = Field(..., min_length=6, description="Contraseña del usuario", examples=["miPassword123"])

# ------------------------------------------------------------
# Schema para login de usuario
class UserLogin(BaseModel):
    """Schema para autenticación de usuarios"""
    username: str = Field(..., description="Nombre de usuario", examples=["juan_perez"])
    password: str = Field(..., description="Contraseña del usuario", examples=["miPassword123"])

# ------------------------------------------------------------
# Schema para la respuesta de usuario (sin contraseña)
class UserResponse(BaseModel):
    """Schema para la respuesta de datos de usuario"""
    id: int = Field(examples=[1])
    username: str = Field(examples=["juan_perez"])
    created_at: Optional[datetime] = Field(default=None, examples=["2025-10-09T14:30:00"])
    updated_at: Optional[datetime] = Field(default=None, examples=[None])
    
    model_config = ConfigDict(from_attributes=True)  # Permite crear desde modelos ORM

# ------------------------------------------------------------
# Schema para la respuesta del token de autenticación
class Token(BaseModel):
    """Schema para la respuesta de autenticación JWT"""
    access_token: str = Field(..., description="Token JWT de acceso", examples=["eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."])
    token_type: str = Field(default="bearer", description="Tipo de token", examples=["bearer"])

# ------------------------------------------------------------
# Schema para la respuesta completa de login (token + usuario)
class LoginResponse(BaseModel):
    """Schema para la respuesta de login con token y datos del usuario"""
    access_token: str = Field(..., description="Token JWT de acceso", examples=["eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."])
    token_type: str = Field(default="bearer", description="Tipo de token", examples=["bearer"])
    user: UserResponse = Field(..., description="Datos del usuario autenticado")

# ------------------------------------------------------------
# Schema para mensajes generales
class Message(BaseModel):
    """Schema para mensajes de respuesta"""
    mensaje: str = Field(examples=["Operación realizada exitosamente"])



---
## Paso 7: `routes/` – Capa de controladores o endpoints**

**`user_routes.py`**
  Define las **rutas HTTP (GET, POST, PUT, DELETE)** que los clientes pueden consumir.
  Aquí se importa la lógica de `auth`, `schemas`, `models` y `database`.

---


In [None]:
from fastapi import APIRouter, Depends, HTTPException
from sqlalchemy.orm import Session
from core.database import get_db
from models.user import User
from auth.auth_service import hashear_password, verificar_password
from auth.auth_handler import crear_token
from auth.dependencies import get_current_user
from schemas.user_schemas import UserCreate, UserLogin, UserResponse, Token, LoginResponse, Message

router = APIRouter(tags=["Autenticación"])  # Tag para documentación Swagger

@router.post("/login", response_model=LoginResponse, summary="Iniciar sesión")
def login(data: UserLogin, db: Session = Depends(get_db)):
    """
    Autentica un usuario y devuelve un token JWT junto con los datos del usuario.
    
    - **username**: Nombre de usuario
    - **password**: Contraseña del usuario
    
    Retorna:
    - **access_token**: Token JWT para autenticación
    - **token_type**: Tipo de token (bearer)
    - **user**: Datos del usuario autenticado
    """
    user = db.query(User).filter(User.username == data.username).first()
    
    if not user or not verificar_password(data.password, user.hashed_password):
        raise HTTPException(status_code=401, detail="Credenciales inválidas")

    token = crear_token({"sub": user.username})
    
    return LoginResponse(
        access_token=token,
        token_type="bearer",
        user=UserResponse.model_validate(user)
    )

@router.post("/register", response_model=UserResponse, status_code=201, summary="Registrar nuevo usuario")
def register(data: UserCreate, db: Session = Depends(get_db)):
    """
    Registra un nuevo usuario en el sistema.
    
    - **username**: Nombre de usuario único (mínimo 3 caracteres)
    - **password**: Contraseña (mínimo 6 caracteres)
    """
    user = db.query(User).filter(User.username == data.username).first()
    
    if user:
        raise HTTPException(status_code=400, detail="Usuario ya existe")

    hashed = hashear_password(data.password)

    nuevo_usuario = User(username=data.username, hashed_password=hashed)

    db.add(nuevo_usuario)
    db.commit()  # Confirmamos los cambios en la base de datos
    db.refresh(nuevo_usuario)  # Obtenemos la versión actualizada del usuario

    return nuevo_usuario

@router.get("/me", response_model=UserResponse, summary="Obtener usuario actual")
async def get_me(current_user: User = Depends(get_current_user)):
    """
    Obtiene los datos del usuario autenticado actualmente.
    
    Requiere autenticación mediante token JWT en el header:
    Authorization: Bearer <token>
    
    Retorna:
    - **id**: ID del usuario
    - **username**: Nombre de usuario
    - **created_at**: Fecha de creación
    - **updated_at**: Fecha de última actualización
    """
    return current_user


---

### Paso 8: `app/main.py`




In [None]:
# app/main.py

# Importamos FastAPI para crear la aplicación web y HTTPException para manejo de errores
from fastapi import FastAPI, HTTPException, Request
from fastapi.responses import JSONResponse

# Importamos middleware de CORS para permitir peticiones desde otros dominios
from fastapi.middleware.cors import CORSMiddleware

# Importamos la base declarativa y el motor de la base de datos
from core.database import Base, engine

# Importamos las rutas de usuario con un alias
from routes.user_routes import router as user_router

# Importamos logging para registrar mensajes en consola o archivos
import logging

# Importamos contextlib para manejar eventos de ciclo de vida
from contextlib import asynccontextmanager

# ------------------------------------------------------------
# Configuración del sistema de logging para monitoreo de errores
logging.basicConfig(
    level=logging.INFO,  # Nivel de registro (INFO, DEBUG, ERROR, etc.)
    format='%(asctime)s - %(name)s - %(levelname)s - %(message)s'  # Formato del mensaje
)
logger = logging.getLogger(__name__)  # Creamos un logger específico para este archivo

# ------------------------------------------------------------
# Gestor de eventos de ciclo de vida de la aplicación
@asynccontextmanager
async def lifespan(app: FastAPI):
    """Gestiona el inicio y cierre de la aplicación"""
    # Código que se ejecuta al iniciar
    try:
        Base.metadata.create_all(bind=engine)  # Ejecuta la creación de todas las tablas definidas en los modelos
        logger.info("Base de datos inicializada correctamente")  # Mensaje de éxito
    except Exception as e:
        logger.error(f"Error al inicializar la base de datos: {str(e)}")  # Mensaje de error
        raise  # Lanza nuevamente la excepción para detener la aplicación si hay fallo
    
    yield  # Aquí la aplicación está en ejecución
    
    # Código que se ejecuta al cerrar (si fuera necesario en el futuro)
    logger.info("Aplicación finalizando...")

# ------------------------------------------------------------
# Instancia principal de la aplicación FastAPI
app = FastAPI(
    title="API de Usuarios",  # Título que aparecerá en la documentación Swagger
    description="API para gestión de usuarios con autenticación",  # Descripción de la API
    version="1.0.0",  # Versión de la API
    lifespan=lifespan  # Gestor de ciclo de vida
)

# ------------------------------------------------------------
# Middleware para permitir CORS (Cross-Origin Resource Sharing)
app.add_middleware(
    CORSMiddleware,
    allow_origins=["*"],  # Permite peticiones desde cualquier origen (¡Se modifica en producción!)
    allow_credentials=True,  # Permite el envío de cookies o credenciales
    allow_methods=["*"],  # Permite todos los métodos HTTP (GET, POST, etc.)
    allow_headers=["*"],  # Permite todos los encabezados personalizados
)

# ------------------------------------------------------------
# Manejador global de errores no controlados
@app.exception_handler(Exception)
async def global_exception_handler(request: Request, exc: Exception):
    logger.error(f"Error no manejado: {str(exc)}")  # Registra el error
    return JSONResponse(
        status_code=500,  # Error interno del servidor
        content={"detail": "Error interno del servidor"}
    )

# ------------------------------------------------------------
# Incluir el conjunto de rutas definidas en el archivo user_routes
app.include_router(user_router, prefix="/api/v1")  # Todas las rutas estarán bajo /api/v1 (ej: /api/v1/login)

# ------------------------------------------------------------
# Punto de entrada principal de la aplicación
def main():
    """Función principal para iniciar el servidor"""
    import uvicorn
    import webbrowser
    from threading import Timer
    
    host = "127.0.0.1"
    port = 8000
    
    # Abrir navegador automáticamente después de 1.5 segundos
    def open_browser():
        webbrowser.open(f"http://{host}:{port}/docs")
    
    Timer(1.5, open_browser).start()
    
    # Ejecutar servidor uvicorn con hot-reload
    uvicorn.run(
        "main:app",  # Módulo:aplicación
        host=host,  # Escucha en localhost
        port=port,  # Puerto del servidor
        reload=True,  # Hot-reload activado para desarrollo
        log_level="info"  # Nivel de logs
    )

if __name__ == "__main__":
    main()


---

### Ejecutar el proyecto


1. Asegúrate de tener PostgreSQL encendido y crea la base de datos:

```bash
      db_ejemplo
```

2. Ejecuta el servidor:

```bash
      python main.py
```

---






## Normas internacionales aplicadas

| Norma             | Aplicación                                                                  |
| ----------------- | --------------------------------------------------------------------------- |
| **OWASP Top 10**  | Prevención de exposición de datos, validación de entrada, control de acceso |
| **PEP 8**         | Nombres descriptivos, organización de imports, espaciado                    |
| **PEP 20**        | Código legible y explícito                                                  |
| **ISO/IEC 27001** | Enfoque en confidencialidad e integridad de tokens                          |



## Recursos adicionales

* Documentación de JWT: [https://jwt.io/](https://jwt.io/)
* python-jose: [https://github.com/mpdavis/python-jose](https://github.com/mpdavis/python-jose)
* OWASP Cheatsheets: [https://cheatsheetseries.owasp.org/](https://cheatsheetseries.owasp.org/)

---

