Login de usuarios en API REST

Avanzado
SpringBoot
SpringBoot
Actualizado: 13/06/2025

¡Desbloquea el curso completo!

IA
Ejercicios
Certificado
Entrar

Poder autenticar usuarios con un método de login desde un controlador REST en Spring Boot.

¿Te está gustando esta lección?

Inicia sesión para no perder tu progreso y accede a miles de tutoriales, ejercicios prácticos y nuestro asistente de IA.

Progreso guardado
Asistente IA
Ejercicios
Iniciar sesión gratis

Más de 25.000 desarrolladores ya confían en CertiDevs

La autenticación se basará en crear un token JWT. 

Para ello es necesaria la dependencia jjwt en el pom.xml:

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.12.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.12.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.12.5</version>
</dependency>

Crear método login en controlador

Primero creamos un record Login para recibir los datos del frontend con las credenciales del usuario:

public record Login(
        String email,
        String password
) {
}

Creamos el record Token para la respuesta del login:

public record Token(
        String token
) {
}

Crear método login en un controlador REST:

    @PostMapping("users/login")
    public Token login(@RequestBody Login login) {

        if (!this.userRepository.existsByEmail(login.email())) {
            throw new NoSuchElementException("User not found");
        }

        User user = this.userRepository.findByEmail(login.email()).orElseThrow();

        if (!passwordEncoder.matches(login.password(), user.getPassword())){
            throw new RuntimeException("Credenciales incorrectas");
        }

        // JWT Json Web Token: jwt.io
        // Generar token de acceso: eyJhbGciOiJIUzI1NiIsIn......
        // Generar el token: https://github.com/jwtk/jjwt?tab=readme-ov-file#creating-a-jwt
        Date issuedDate = new Date();
        long nextWeekMillis = TimeUnit.DAYS.toMillis(7);
        Date expirationDate = new Date(issuedDate.getTime() + nextWeekMillis);
        byte[] key = Base64.getDecoder().decode("FZD5maIaX04mYCwsgckoBh1NJp6T3t62h2MVyEtdo3w="); // Clave secreta

        String token = Jwts.builder()
                // id del usuario
                .subject(String.valueOf(user.getId()))
                // La clave secreta para firmar el token y saber que es nuestro cuando lleguen las peticiones del frontend
                .signWith(Keys.hmacShaKeyFor(key))
                // Fecha emisión del token
                .issuedAt(issuedDate)
                // Fecha de expiración del token
                .expiration(expirationDate)
                // información personalizada: rol, username, email, avatar...
                .claim("role", user.getRole())
                .claim("email", user.getEmail())
                //.claim("avatar", user.getAvatarUrl())
                // Construye el token
                .compact();

        return new Token(token);
    }

Partes del método:

  • userRepository.existsByEmail(login.email()) comprueba que el usuario existe.
  • userRepository.findByEmail extrae el usuario de base de datos.
  • passwordEncoder.matches(login.password(), user.getPassword()) se verifica la contraseña del login con la contraseña de la base de datos.
  • Jwts.builder() genera un token JWT utilizando una clave secreta.

Por último, se devuelve el token.

Nota: los métodos proporcionados de la librería jjwt podrían variar dependiendo de la versión de esa librería que estemos utilizando.

Verificar login desde postman

Desde postman enviamos un email y password de un usario que tengamos en base de datos:

Ejemplo del token generado en la respuesta:

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIyMTUiLCJpYXQiOjE3MTMzNzExMjcsImV4cCI6MTcxMzk3NTkyNywicm9sZSI6IkFETUlOIiwiZW1haWwiOiJhZG1....

Opcional: se puede decodificar el token desde la página jwt.io:

Verificar login desde frontend

En un frontend como Angular podríamos tener un formulario de login que envíe los datos por POST al controlador y reciba el token:

Con esto ya tenemos el token JWT en el frontend y podríamos guardarlo en el localStorage.

Aprendizajes de esta lección

  • Autenticar usuarios
  • Verificar contraseña usuario
  • Crear token JWT

Completa SpringBoot y certifícate

Únete a nuestra plataforma y accede a miles de tutoriales, ejercicios prácticos, proyectos reales y nuestro asistente de IA personalizado para acelerar tu aprendizaje.

Asistente IA

Resuelve dudas al instante

Ejercicios

Practica con proyectos reales

Certificados

Valida tus conocimientos

Más de 25.000 desarrolladores ya se han certificado con CertiDevs

⭐⭐⭐⭐⭐
4.9/5 valoración