Spring Boot

SpringBoot

Tutorial SpringBoot: Login de usuarios en API REST

Spring Boot login: implementación y seguridad. Aprende a implementar un sistema de login seguro en Spring Boot con ejemplos prácticos y detallados.

Aprende SpringBoot y certifícate

Poder autenticar usuarios con un método de login desde un controlador REST en Spring Boot.

La autenticación se basará en crear un token JWT. 

Para ello es necesaria la dependencia jjwt en el pom.xml:

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.12.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.12.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.12.5</version>
</dependency>

Crear método login en controlador

Primero creamos un record Login para recibir los datos del frontend con las credenciales del usuario:

public record Login(
        String email,
        String password
) {
}

Creamos el record Token para la respuesta del login:

public record Token(
        String token
) {
}

Crear método login en un controlador REST:

    @PostMapping("users/login")
    public Token login(@RequestBody Login login) {

        if (!this.userRepository.existsByEmail(login.email())) {
            throw new NoSuchElementException("User not found");
        }

        User user = this.userRepository.findByEmail(login.email()).orElseThrow();

        if (!passwordEncoder.matches(login.password(), user.getPassword())){
            throw new RuntimeException("Credenciales incorrectas");
        }

        // JWT Json Web Token: jwt.io
        // Generar token de acceso: eyJhbGciOiJIUzI1NiIsIn......
        // Generar el token: https://github.com/jwtk/jjwt?tab=readme-ov-file#creating-a-jwt
        Date issuedDate = new Date();
        long nextWeekMillis = TimeUnit.DAYS.toMillis(7);
        Date expirationDate = new Date(issuedDate.getTime() + nextWeekMillis);
        byte[] key = Base64.getDecoder().decode("FZD5maIaX04mYCwsgckoBh1NJp6T3t62h2MVyEtdo3w="); // Clave secreta

        String token = Jwts.builder()
                // id del usuario
                .subject(String.valueOf(user.getId()))
                // La clave secreta para firmar el token y saber que es nuestro cuando lleguen las peticiones del frontend
                .signWith(Keys.hmacShaKeyFor(key))
                // Fecha emisión del token
                .issuedAt(issuedDate)
                // Fecha de expiración del token
                .expiration(expirationDate)
                // información personalizada: rol, username, email, avatar...
                .claim("role", user.getRole())
                .claim("email", user.getEmail())
                //.claim("avatar", user.getAvatarUrl())
                // Construye el token
                .compact();

        return new Token(token);
    }

Partes del método:

  • userRepository.existsByEmail(login.email()) comprueba que el usuario existe.
  • userRepository.findByEmail extrae el usuario de base de datos.
  • passwordEncoder.matches(login.password(), user.getPassword()) se verifica la contraseña del login con la contraseña de la base de datos.
  • Jwts.builder() genera un token JWT utilizando una clave secreta.

Por último, se devuelve el token.

Nota: los métodos proporcionados de la librería jjwt podrían variar dependiendo de la versión de esa librería que estemos utilizando.

Verificar login desde postman

Desde postman enviamos un email y password de un usario que tengamos en base de datos:

Ejemplo del token generado en la respuesta:

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIyMTUiLCJpYXQiOjE3MTMzNzExMjcsImV4cCI6MTcxMzk3NTkyNywicm9sZSI6IkFETUlOIiwiZW1haWwiOiJhZG1....

Opcional: se puede decodificar el token desde la página jwt.io:

Verificar login desde frontend

En un frontend como Angular podríamos tener un formulario de login que envíe los datos por POST al controlador y reciba el token:

Con esto ya tenemos el token JWT en el frontend y podríamos guardarlo en el localStorage.

Aprende SpringBoot online

Otras lecciones de SpringBoot

Accede a todas las lecciones de SpringBoot y aprende con ejemplos prácticos de código y ejercicios de programación con IDE web sin instalar nada.

Accede GRATIS a SpringBoot y certifícate

Ejercicios de programación de SpringBoot

Evalúa tus conocimientos de esta lección Login de usuarios en API REST con nuestros retos de programación de tipo Test, Puzzle, Código y Proyecto con VSCode, guiados por IA.