Login de usuarios en API REST

Avanzado
SpringBoot
SpringBoot
Actualizado: 13/06/2025

Poder autenticar usuarios con un método de login desde un controlador REST en Spring Boot.

La autenticación se basará en crear un token JWT. 

Para ello es necesaria la dependencia jjwt en el pom.xml:

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.12.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.12.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.12.5</version>
</dependency>

Crear método login en controlador

Primero creamos un record Login para recibir los datos del frontend con las credenciales del usuario:

public record Login(
        String email,
        String password
) {
}

Creamos el record Token para la respuesta del login:

public record Token(
        String token
) {
}

Crear método login en un controlador REST:

    @PostMapping("users/login")
    public Token login(@RequestBody Login login) {

        if (!this.userRepository.existsByEmail(login.email())) {
            throw new NoSuchElementException("User not found");
        }

        User user = this.userRepository.findByEmail(login.email()).orElseThrow();

        if (!passwordEncoder.matches(login.password(), user.getPassword())){
            throw new RuntimeException("Credenciales incorrectas");
        }

        // JWT Json Web Token: jwt.io
        // Generar token de acceso: eyJhbGciOiJIUzI1NiIsIn......
        // Generar el token: https://github.com/jwtk/jjwt?tab=readme-ov-file#creating-a-jwt
        Date issuedDate = new Date();
        long nextWeekMillis = TimeUnit.DAYS.toMillis(7);
        Date expirationDate = new Date(issuedDate.getTime() + nextWeekMillis);
        byte[] key = Base64.getDecoder().decode("FZD5maIaX04mYCwsgckoBh1NJp6T3t62h2MVyEtdo3w="); // Clave secreta

        String token = Jwts.builder()
                // id del usuario
                .subject(String.valueOf(user.getId()))
                // La clave secreta para firmar el token y saber que es nuestro cuando lleguen las peticiones del frontend
                .signWith(Keys.hmacShaKeyFor(key))
                // Fecha emisión del token
                .issuedAt(issuedDate)
                // Fecha de expiración del token
                .expiration(expirationDate)
                // información personalizada: rol, username, email, avatar...
                .claim("role", user.getRole())
                .claim("email", user.getEmail())
                //.claim("avatar", user.getAvatarUrl())
                // Construye el token
                .compact();

        return new Token(token);
    }

Partes del método:

  • userRepository.existsByEmail(login.email()) comprueba que el usuario existe.
  • userRepository.findByEmail extrae el usuario de base de datos.
  • passwordEncoder.matches(login.password(), user.getPassword()) se verifica la contraseña del login con la contraseña de la base de datos.
  • Jwts.builder() genera un token JWT utilizando una clave secreta.

Por último, se devuelve el token.

Nota: los métodos proporcionados de la librería jjwt podrían variar dependiendo de la versión de esa librería que estemos utilizando.

Verificar login desde postman

Desde postman enviamos un email y password de un usario que tengamos en base de datos:

Ejemplo del token generado en la respuesta:

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIyMTUiLCJpYXQiOjE3MTMzNzExMjcsImV4cCI6MTcxMzk3NTkyNywicm9sZSI6IkFETUlOIiwiZW1haWwiOiJhZG1....

Opcional: se puede decodificar el token desde la página jwt.io:

Verificar login desde frontend

En un frontend como Angular podríamos tener un formulario de login que envíe los datos por POST al controlador y reciba el token:

Con esto ya tenemos el token JWT en el frontend y podríamos guardarlo en el localStorage.

Alan Sastre - Autor del tutorial

Alan Sastre

Ingeniero de Software y formador, CEO en CertiDevs

LinkedIn

Ingeniero de software especializado en Full Stack y en Inteligencia Artificial. Como CEO de CertiDevs, SpringBoot es una de sus áreas de expertise. Con más de 15 años programando, 6K seguidores en LinkedIn y experiencia como formador, Alan se dedica a crear contenido educativo de calidad para desarrolladores de todos los niveles.

Más tutoriales de SpringBoot

Explora más contenido relacionado con SpringBoot y continúa aprendiendo con nuestros tutoriales gratuitos.

Ver más tutoriales de SpringBoot Explorar todas las tecnologías

Aprendizajes de esta lección

  • Autenticar usuarios
  • Verificar contraseña usuario
  • Crear token JWT

Cursos que incluyen esta lección

Esta lección forma parte de los siguientes cursos estructurados con rutas de aprendizaje

Spring Security

Ruta de aprendizaje completa con lecciones y ejercicios