Login mediante cookies

ByLuis February 13, 2008

Este post quizás es algo teórico, por lo que serviría para cualquier lenguaje (PHP, Java, ASP…), pero no habrá código para poder utilizar.

Se trata de hacer login en una aplicación mediante una cookie que estará almacenada en el navegador. Esto es lo que se suele hacer cuando queremos recordar al usuario y así que no tenga que logarse cada vez que entra o se pierde la sesión del navegador. Como se trata de una cookie le podemos poner la fecha de caducidad que queramos por lo que el usuario permanecerá logado durante ese tiempo.

Los datos en la cookie no pueden ir en claro, ya que cualquiera podría obtener esos datos si accedieran a nuestro navegador, por lo que hay que encriptarlos.

Supongamos que tenemos una tabla de usuarios que tiene como mínimo 3 datos: alias, contraseña y código. El alias y la contraseña están claro para que se usan y el código lo veremos más adelante. Contraseña y código serán ambos datos encriptados con MD5.

El proceso de login normal (mediante formulario) sería el siguiente: recibimos usuario y contraseña mediante POST y hacemos consulta a la BD para obtener los datos del usuario mediante el alias. Una vez obtenidos los datos del usuario, comprobamos si la contraseña de la BD y la contraseña recibida y encriptada con MD5 son la misma (nunca hay que recuperar los datos igualando el usuario y la contraseña, ya que si no se hace correctamente puede haber problemas de seguridad, por lo que es mejor obtener primero los datos y luego mediante código comparar los datos). Si las contraseñas coinciden daremos acceso a la aplicación, pero antes almacenaremos en el campo código un valor aleatorio y encriptado con MD5 que usaremos después.

Para realizar el login mediante cookies tendremos que guardar en la cookie el alias y la contraseña. Lo único que encriptaremos será la contraseña, el usuario también se podría encriptar, pero obtener los datos del usuario usando el alias encriptado es menos eficiente, tendría que realizar un MD5 por cada registro de la tabla de usuarios. También se podría almacenar en otro campo el alias encriptado, pero serían datos redundantes y tampoco es muy correcto.

La contraseña no se guardaría únicamente encriptada, ya que el MD5 se puede romper mediante fuerza bruta, por lo que lo que almacenaremos será una unión encriptada de una función simple entre la contraseña y el código. El ejemplo más sencillo para la función es la concatenación, por lo que la contraseña almacenada en la cookie quedaría algo así:

md5(contraseña+codigo)

que para ver un ejemplo más claro, si nuestra contraseña fuera ‘password‘, quedaría algo así:

md5( md5('password') + md5( rand() ) )

ya que la contrasñena en la BD se guarda encriptada y el código es un valor aleatorio encriptado.

Supongo que con mucha paciencia también se puede romper este código, pero realmente, si te preocupa que alguien pueda romper un MD5 de una cadena de 64 caracteres (32+32), mejor no hagas el recordar password y usa SSL.

Una vez obtenida la contraseña de la cookie, realizamos la operación con la contraseña obtenida en el consulta a la BD y si coinciden pues damos acceso a la aplicación.

Cada vez que se haga login se renueva el código y actualiza la cookie, y cada vez que se haga logout o se equivoque en el login se actualiza el código y se borra la cookie.

Esta es la forma en que lo haría yo, pero si alguien tiene dudas sobre la eficacia del método, por favor que lo comente.

Javascript

Hapi.js + Vue.js llamadas autenticadas al servidor con JWT (login)

ByLuis September 1, 2019September 1, 2019

Hoy toca realizar conexiones con el servidor usando llamadas autenticadas. Para eso usaremos JWT (JSON Web Token), que viene a ser el envío de un token en cada llamada que necesita autenticación. El token está formado por tres cadenas codificadas en base64 y separadas por un punto (header.payload.signature). En el payload se envía toda la info que queramos, pero sin pasarse porque el token no debería ser muy largo y sobre todo sin enviar información sensible, porque el token no está encriptado, es por ello que la comunicación navegador/servidor debe ser mediante HTTPS. Si quieres una explicación más detallada, aquí te lo explican mejor.

En el payload vamos a guardar varios claims, entre ellos el username y un uuid que usaremos para validar que el usuario es correcto. JWT asegura que el token es válido, pero no viene mal añadir cierta seguridad. Cuando el usuario se loguea un nuevo uuid es generado, por lo que se comprobará si coinciden para el username enviado.

Ya tenemos la explicación teórica, ahora vamos con la parte de programación, primero la parte servidor y luego el frontend.

Lo primero que tenemos que hacer es añadir un nuevo plugin a hapi.js que se encargue de la autenticación, registrando un nuevo strategy a server.auth que use JWT. El plugin hapi-auth-jwt2 se encargará de toda la autenticación JWT y añadiremos una capa extra de validación comprobando que el username y el uuid coinciden.

/**
 * Auth controller
 *
 * It uses JWT
 */
const jwt2 = require( 'hapi-auth-jwt2' );
const User = require( '../models/users' );

const validate = async function( decoded ) {
	const user = await User.findByUUID( decoded.id );
	return { isValid: !! user && user.username === decoded.username };
};

exports.plugin = {
	name: 'auth',
	register: async function( server, options ) {
		await server.register( jwt2 );

		server.auth.strategy( 'jwt', 'jwt',
			{
				key: options.jwt.secret,
				validate: validate,
				verifyOptions: { algorithms: [ 'HS256' ] }, // pick a strong algorithm
			}
		);

		server.auth.default( 'jwt' );
	},
};

En el modelo user añadiremos 2 nuevos métodos estáticos, que permitirán encontrar usuarios por username/email y por uuid:

userSchema.static( 'findByUserOrEmail', async function( username, email ) {
	const result = await new Promise( ( resolve, reject ) => {
		this.model( 'User' )
			.findOne( {
				$or: [
					{ username: username },
					{ email: email },
				],
			} )
			.exec( ( error, data ) => {
				if ( error ) {
					reject( error );
				}
				resolve( data );
			} );
	} );
	return result;
} );

userSchema.static( 'findByUUID', async function( uuid ) {
	const result = await new Promise( ( resolve, reject ) => {
		this.model( 'User' )
			.findOne( {
				uuid,
			} )
			.exec( ( error, data ) => {
				if ( error ) {
					reject( error );
				}
				resolve( data );
			} );
	} );
	return result;
} );

En el manifest de Glue hay que añadir la configuración para CORS, ya que el token viajará usando la cabecera Authorization:

const manifest = {
	server: {
		port: Config.get( '/server/port' ),
		routes: {
			cors: {
				origin: [ '*' ],
				credentials: true,
				exposedHeaders: [ 'Authorization' ],
			},
		},
	},
};

Y en la configuración general del servidor hay que añadir una cadena que se usará para encriptar el signature del token JWT.

const config = {
	auth: {
		jwt: {
			secret: process.env.JWT_SECRET,
		},
	},
};

Y por último añadimos una nueva ruta para autenticar (login) el usuario, comprobamos que el usuario y la contraseña coinciden, y si es así, creamos un uuid que guardamos en la bd y generamos el JWT y lo enviamos en la cabecera Authorization:

/**
 * Authenticates an user
 */
server.route( {
	method: 'POST',
	path: '/user/auth',
	options: {
		tags: [ 'api', 'user', 'auth' ],
		description: 'Server authenticate user',
		notes: 'Server authenticate user',
		auth: false,
		validate: {
			payload: {
				username: Joi.string().alphanum().min( 3 ).max( 20 ).required(),
				password: Joi.string().min( 8 ).required(),
			},
		},
	},

	/**
	 * Route handler
	 *
	 * @param {object} request
	 * @param {object} h Hapi object
	 * @returns {object}
	 */
	handler: async( request, h ) => { // eslint-disable-line
		try {
			const user = await User.findByUserOrEmail( request.payload.username, request.payload.email );
			if ( ! user ) {
				return Boom.badData( 'User or password incorrect' );
			}
			const isValidPassword = await bcrypt.compare( request.payload.password, user.password );
			if ( ! isValidPassword ) {
				return Boom.badData( 'User or password incorrect' );
			}

			const claims = {
				id: uuid(),
				exp: new Date().getTime() + ( 180 * 24 * 60 * 60 * 1000 ), // 3 months
				username: user.username,
			};

			user.uuid = claims.id;
			user.save();

			const token = JWT.sign( claims, Config.get( '/auth' ).jwt.secret ); // synchronous

			return h.response( {
				response: true,
				message: 'Check Auth Header for your Token',
			} ).header( 'Authorization', token );
		} catch ( error ) {
			return Boom.badImplementation( 'Error', { error } );
		}
	},
} );

Vale, ya tenemos la parte del servidor, ahora la parte del frontend. Primero es añadir las rutas para /login, /account y /logout. He añadido un meta que indica si la ruta tiene que ser obligatoriamente autenticada, obligatoriamente no autenticada o como sea. Para ello, para cada ruta comprobará si el JWT token está almacenado o no y según el meta redirigirá a home o continuará:

import Vue from 'vue';
import Router from 'vue-router';
import Home from '@/js/components/Home';
import Login from '@/js/components/Login';
import Account from '@/js/components/Account';
import Logout from '@/js/components/Logout';
import Storage from '@/js/utils/storage';

Vue.use( Router );

const router = new Router( {
	mode: 'history',
	routes: [
		{
			path: '/',
			name: 'Home',
			component: Home,
		},
		{
			path: '/login',
			name: 'Login',
			component: Login,
			meta: {
				auth: false,
			},
		},
		{
			path: '/account',
			name: 'Account',
			component: Account,
			meta: {
				auth: true,
			},
		},
		{
			path: '/logout',
			name: 'Logout',
			component: Logout,
			meta: {
				auth: true,
			},
		},
	],
} );

router.beforeEach( ( to, from, next ) => {
	if ( !! to.meta ) {
		const storage = new Storage();
		const jwtToken = storage.getJWTToken();
		// Can't be logged
		if ( to.meta.auth === false ) {
			if ( jwtToken ) {
				next( '/' );
			}
		// Must be logged
		} else if ( to.meta.auth === true ) {
			if ( ! jwtToken ) {
				next( '/' );
			}
		}
		next();
	} else {
		next();
	}
} );

export default router;

Para gestionar el almacenamiento en el navegador en vez de cookies vamos a usar sessionStorage y localStorage para guardar el token JWT. Como el formulario de login permite recordar la sesión, vamos a usar ambos storages. Si no se recuerda usaremos sessionStorage, que se borrará cuando se cierra el navegador, en caso contrario usaremos localStorage.

import Config from '@/js/config';

/**
 * API methods for sesion/local storage.
 * Depending on `this.session` it saves only on `sessionStorage` or also in `localStorage`
 *
 * @since v0.8.0
 */
class storage {
	/**
	 * Constructor
	 *
	 * @param {boolean} session If stored only in session
	 */
	constructor( session = false ) {
		this.session = session;
	}

	/**
	 * It saves the token in the session (and local storage is this.session === false),
	 *
	 * @param {strig} token JWT token
	 */
	setJWTToken( token ) {
		sessionStorage.setItem( Config.jwt.storageKey, token );
		if ( ! this.session ) {
			localStorage.setItem( Config.jwt.storageKey, token );
		}
	}

	/**
	 * It gets a value from session storage or in local if session = false
	 *
	 * @returns {string}
	 */
	getJWTToken() {
		const sessionValue = sessionStorage.getItem( Config.jwt.storageKey );
		if ( sessionValue ) {
			return sessionValue;
		}
		if ( ! this.session ) {
			const storedValue = localStorage.getItem( Config.jwt.storageKey );
			return storedValue;
		}
		return null;
	}

	/**
	 * Removes JWT token from session and local storage
	 */
	removeJWTToken() {
		sessionStorage.removeItem( Config.jwt.storageKey );
		localStorage.removeItem( Config.jwt.storageKey );
	}
}

export default storage;

También hemos creado una librería para tratar las llamadas a la API. Hay dos métodos, uno para autenticar el usuario (login) que mirará la cabecera Authorization, y otro método que obtiene los datos del usuario actual realizando una llamada autenticada enviando el JWT token en la cabecera Authorization:

import Config from '@/js/config';
import Storage from '@/js/utils/storage';

/**
 * API backend methods
 *
 * @since 0.8.0
 */
class apiFetch {
	/**
	 * Authenticate an user, if ok, JWT token is sent by the server in Authorization header
	 *
	 * @param {string} username User name
	 * @param {string} password Password
	 *
	 * @returns {Promise}
	 */
	auth( username, password ) {
		return fetch( Config.api.user.auth, {
			method: 'POST',
			body: JSON.stringify(
				{ username, password }
			),
			mode: 'cors',
		} ).then( response => {
			const auth = response.headers.get( 'Authorization' );
			if ( auth ) {
				return {
					response: true,
					token: auth,
				};
			}
			return {
				response: false,
				message: 'Username or password not valid',
			};
		} );
	}

	getUser( username ) {
		return fetch( `${ Config.api.user.get }${ username }`, {
			method: 'GET',
			headers: {
				Authorization: new Storage().getJWTToken(),
			},
		} ).then( response => response.json() );
	}
}

export default apiFetch;

Ahora solo faltan los controladores para login, account y logout. Login realizar la llamada al servidor y si se obtiene el JWT se guarda:

<template>
	<section class="section">
		<div class="container">
			<h1 class="title">
				Login
			</h1>
			<div
				v-if="error"
				class="columns is-centered has-margin-bottom-2"
			>
				<b-notification
					class="column is-7-tablet is-6-desktop is-5-widescreen"
					type="is-danger"
					has-icon
					aria-close-label="Close notification"
					role="alert"
					size="is-small	"
				>
					{{ error }}
				</b-notification>
			</div>
		</div>
		<div class="container">
			<div class="columns is-centered">
				<div class="column is-5-tablet is-4-desktop is-3-widescreen has-background-light login-form">
					<b-field label="Username">
						<b-input
							v-model="username"
							value=""
							maxlength="30"
							icon="account-circle-outline"
						/>
					</b-field>
					<b-field label="Password">
						<b-input
							v-model="password"
							value=""
							type="password"
							icon="lock-outline"
						/>
					</b-field>
					<div class="field">
						<b-checkbox v-model="remember">
							Remember me
						</b-checkbox>
					</div>
					<div class="has-text-right">
						<b-button
							type="is-primary"
							@click="submit"
						>
							Log in
						</b-button>
					</div>
				</div>
			</div>
		</div>
	</section>
</template>

<script>
import ApiFectch from '@/js/utils/api';
import Storage from '@/js/utils/storage';

export default {
	name: 'Login',
	// Form data and error messages if login fails
	data() {
		return {
			username: '',
			password: '',
			remember: false,
			error: '',
		};
	},
	methods: {
		// It logs in, using the backend API for authenticate the user data.
		// If user logs in, it saves the JWT token in the browser. If not, shows error message.
		submit: function() {
			const api = new ApiFectch();
			api.auth( this.username, this.password )
				.then( response => {
					const storage = new Storage( ! this.remember );
					if ( !! response.response && !! response.token ) {
						storage.setJWTToken( response.token );
						this.error = false;
						// `go` refreshes the page, so user data is updated
						this.$router.go( '/' );
					} else {
						storage.removeJWTToken();
						this.error = response.message;
					}
				} );
		},
	},
};
</script>

<style lang="scss" scoped>
	.login-form {
		border-radius: 4px;
	}
</style>

Logout borra los datos JWT del navegador y redirige a home:

<template>
	<section class="hero is-medium is-primary is-bold">
		<div class="hero-body">
			<div class="container has-text-centered">
				<h1 class="title">
					{{ message }}
				</h1>
				<h2 class="subtitle">
					Miss you 💛
				</h2>
			</div>
		</div>
	</section>
</template>

<script>
import User from '@/js/utils/user';

export default {
	name: 'Logout',
	// Dummy data
	data() {
		return {
			message: 'Bye',
		};
	},
	// After being created it logs out and go to home
	created() {
		new User().logout();
		// `go` instead of `push` because refreshing the page updates the user data
		// Maybe using vuex is a better way to do it, or not...
		this.$router.go( '/' );
	},
};
</script>

Y Account recupera los datos del usuario una vez que ha creado el controlador:

<template>
	<div id="account">
		<section class="hero is-primary is-bold">
			<div class="hero-body">
				<div class="has-text-centered">
					<h1 class="title">
						{{ message }}
					</h1>
					<h2 class="subtitle">
						Your data
					</h2>
				</div>
			</div>
		</section>
		<section class="section">
			<div class="container">
				<div class="tile is-ancestor">
					<div class="tile is-parent">
						<p class="tile is-child notification">
							Some content
						</p>
					</div>
					<div class="tile is-8 is-parent">
						<div class="tile is-child notification is-info">
							<ul id="data">
								<li
									v-for="( value, key ) in user"
									:key="key"
								>
									{{ key }} : {{ value }}
								</li>
							</ul>
						</div>
					</div>
				</div>
			</div>
		</section>
	</div>
</template>

<script>
// Dummy component

import ApiFectch from '@/js/utils/api';
import User from '@/js/utils/user';

export default {
	name: 'Account',
	data() {
		return {
			message: 'Account',
			user: {},
		};
	},
	created() {
		const user = new User().getCurrentUser();
		new ApiFectch().getUser( user.username )
			.then( response => this.user = response );
	},
};
</script>

Recuerda que tienes todo el código aquí

Desarrollo web

Fadomatic: añade transparecias a tus scripts

ByLuis May 12, 2006

Fadomatic es un script que funciona los navegadores mÃ¡s importantes (IE, Gecko, Safari), que permite realizar transparecias disminuyendo el canal alpha progresivamente. Para mÃ, lo importante de este script es poder estudiar su funcionamiento, como para IE se usa el filtro alpha:

elemento.style.filter = "alpha(opacity="+opacidad+")";

Y como para los navegadores que sigue los estÃ¡ndares, usan el estilo opacity:

elemento.style.opacity = opacidad;

Fadomatic

VÃa / Intenta

Desarrollo web | Javascript

El rendimiento de Google Instant Previews

ByLuis November 16, 2010

Algunas veces no nos paramos a pensar en los cambios que añade una web, en este caso Google, los problemas que pueden aparecer en tema de rendimiento. Y estos problemas suelen ser fundamentales a la hora de la impresión que se lleva un usuario de la web, claro, que Google no se caracteriza por problemas de rendimiento y los expertos que están trabajando allá deben ser de lo mejorcito que existe.

Después de este rollo introductorio, me gustaría apuntar los 3 aspectos que utiliza Google para mejorar el rendimiento que se centran sobre todo en la reducción del número de peticiones HTTP:

Compilación de Javascript: mediante Closure Compiler, consigue reducir el tamaño de los ficheros js, reutilizar variables, …
JSONP bajo demando: JSONP permite envolver la respuesta JSON con una llamada Javascript. Se realizan llamadas directas al script en vez de usar Ajax, lo cual permite hacer llamadas crossdomain y que el navegador lo cachee perfectamente. El problema es que si se añade la llamada con un createElement, el navegador se queda cargando, por lo que es mejor meterlo entre un setTimeout.
DATA URIs: es un método de añadir contenido en URLs usando base64, el problema es que IE8 sólo admite DATA URIs de 32k, por lo que dividen las imagenes en trozos y los “empalman” con etiquetas IMG. También han comprobado que aunque base64 añade hasta un 33% del tamaño, como lo devuelven en gzip, el tamaño final es más o menos el mismo.

Está claro que hay que aprender de los que saben.

Instant Previews: Under the hood

Vía / High Scalability

Desarrollo web | Quicklinks

TheseDays.com: An Easy Way to Detect Mobile Devices

ByLuis August 11, 2010

On the These Days blog there’s a recent post talking about creating a mobile version of your site and how you can detect if the visitor is using a mobile browser or not using WURFL. WURFL, The Wireless Universal Resource File (WURFL) is an open sourc …

Post original

Desarrollo web

Snipplr: trozos de código

ByLuis September 25, 2006

A todos nos pasa que nos gusta reutilizar (copy/paste) aquellas trozos de cÃ³digo (snippet) que hemos creado en algÃºn proyecto anterior y que no nos apetece volver a pensar cÃ³mo hacerlo. En vez de tener que buscar entre todo el cÃ³digo que tenemos y pasarse todo el tiempo diciendo “recuerdo haber hecho esto en tal sitio”, podemos usar Snipplr para guardar nuestros propios snippets o para usar los que comparten otros usuarios, organizados por lenguaje de programaciÃ³n y por tags.
Snipplr
VÃa / Criterion

Apache | Desarrollo web | PHP

Laboratorio: área clientes mediante Apache y PHP

ByLuis April 19, 2007

Viendo diferentes empresas con pÃ¡gina corporativa, he visto que suele ser comÃºn el Ã¡rea para los clientes. En este mundo es normal que el tema de los pagos suela dar complicaciones, por eso yo creo que es preferible subir lo que se va desarrollando para el cliente en un servidor propio que en el servidor del cliente, ya que hasta que no pague en su totalidad, no dispone de ello.

Si te encuentras en esta situaciÃ³n, quizÃ¡s te sea Ãºtil este truco para habilitar una Ã¡rea privada protegida para los clientes, la cual redireccionarÃ¡ al contenido del cliente, ya sea el propio trabajo en sÃ o una aplicaciÃ³n en particular.

Para el caso del ejemplo, yo lo he hecho para unas pÃ¡ginas web estÃ¡ticas, y luego que cada cual, si le interesa, que lo adapte a su gusto.

El funcionamiento es el siguiente: el usuario accede a una ruta con acceso restringido a usuarios vÃ¡lidos mediante Apache. TambiÃ©n mediante Apache se le redirigirÃ¡ a una pÃ¡gina propia, en este caso las pÃ¡ginas HTML que estÃ¡n guardadas en un directorio especÃfico para clientes (fuera del webroot) y en un directorio especÃfico para ese cliente en concreto.

Supongamos que tenemos el directorio webroot siguiente home/www y el Ã¡rea web de clientes estÃ¡ en el directorio home/www/clientes y el espacio fÃsico especÃfico de clientes estÃ¡ en home/www/_clientes. Lo primero que debemos hacer es aÃ±adir el siguiente .htaccess en el directorio clientes.

AuthType Basic
AuthName "Acceso a clientes"
AuthUserFile [path]\passwords.conf
Require valid-user
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/clientes(.*)$
RewriteRule ^(.*)$ /_clientes/index.php?url=$1  [L,QSA]

Lo que hace esta configuraciÃ³n es aÃ±adir autenticaciÃ³n al directorio clientes y redireccionar al script index.php del directorio _clientes, pasÃ¡ndole como parÃ¡metro la url a la que se accede.

El script index.php para este ejemplo, lo que he hecho ha sido incrustar el fichero que se quiere directamente, teniendo en cuenta el Content-Type y que si no se aÃ±ade ninguna url despuÃ©s de clientes se tome por defecto el fichero index.html.

<?php
// Devuelve el content-type
function content_type($url) {
$ext = substr($url, strrpos($url, '.')+1);
if ($ext == 'swf') {
header("Content-type: application/octet-stream");
} else if ($ext == 'png') {
header("Content-type: image/png");
} else if ($ext == 'jpg') {
header("Content-type: image/jpeg");
} else if ($ext == 'gif') {
header("Content-type: image/gif");
} else if ($ext == 'js') {
header("Content-type: text/javascript");
} else if ($ext == 'css') {
header("Content-type: text/css");
} else if ($ext == 'html') {
header("Content-type: text/html");
} else {
header("Content-type: text/plain");
}
}
// Obtengo el usuario y la ruta a la que quiere acceder
$user = $_SERVER['REMOTE_USER'];
$url = substr($_SERVER['REQUEST_URI'], strlen("/clientes"));
$url = $url == '/'? '/index.html' : $url;
// AÃ±ado el content-type
content_type($url);
// Inserto el fichero
if (file_exists('./'.$user.$url)) {
include './'.$user.$url;
}
?>

Por supuesto a este truco le faltan cosas, como seguridad en el directorio _clientes, a parte de que hay que tener cuidado con los paths relativos o absolutos, y alguna cosilla mÃ¡s, pero creo que como idea desde la que partir no estÃ¡ mal.

Similar Posts