SpringBoot
Tutorial SpringBoot: Validación JWT en API REST
Spring JWT filtro: implementación y uso. Domina la implementación de filtros JWT en Spring con ejemplos prácticos y detallados.
Aprende SpringBoot y certifícateCrear un filtro para interceptar las peticiones HTTP entrantes a los controladores REST de Spring Boot.
Este filtro será el encargado de:
- Detectar la cabecera
Authorization. - Extraer el
token JWTde la cabeceraAuthorization. - Verificar la firma del token, debe estar firmado por el backend con la misma clave secreta.
- Decodificar el token y extraer el payload, por ejemplo el id del usuario.
- Comprobar que existe el usuario y obtenerlo.
- Cargar el usuario en el contexto de seguridad de Spring Security para notificar a Spring del usuario autenticado.
Crear filtro Spring
Se crea una clase Java que extiende de OncePerRequestFilter:
@Component
@AllArgsConstructor
@Slf4j
public class RequestJWTFilter extends OncePerRequestFilter {
private final UserRepository userRepository;
@Override
protected void doFilterInternal(
HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
// 1. Extraer de la cabecera Authorization de la request
String bearerToken = request.getHeader("Authorization");
if (!StringUtils.hasLength(bearerToken) || !bearerToken.startsWith("Bearer")) {
filterChain.doFilter(request, response);
return;
}
String token = bearerToken.substring("Bearer ".length());
// 2. Verificar el token JWT
Optional<User> userOptional = validateTokenAndExtractUser(token);
if (userOptional.isEmpty()) {
response.sendError(HttpServletResponse.SC_UNAUTHORIZED);
return;
}
// 3. Cargar usuario en contexto de seguridad Spring
User user = userOptional.get();
SimpleGrantedAuthority role = new SimpleGrantedAuthority(user.getRole().toString());
Authentication auth = new UsernamePasswordAuthenticationToken(user, null, List.of(role));
SecurityContextHolder.getContext().setAuthentication(auth);
filterChain.doFilter(request, response);
}
private Optional<User> validateTokenAndExtractUser(String token) {
byte[] key = Base64.getDecoder().decode("FZD5maIaX04mYCwsgckoBh1NJp6T3t62h2MVyEtdo3w=");
try {
String userId = Jwts.parser()
.verifyWith(Keys.hmacShaKeyFor(key))
.build()
.parseSignedClaims(token)
.getPayload()
.getSubject();
return this.userRepository.findById(Long.valueOf(userId));
} catch (JwtException e) {
log.error("Error en la validación del token JWT");
return Optional.empty();
}
}
}
Crear clase SecurityConfig
Esta clase configura la seguridad globalmente:
import lombok.AllArgsConstructor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@AllArgsConstructor
@Configuration
public class SecurityConfig {
private final RequestJWTFilter jwtFilter;
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
// Para versiones >= 6.1 de Spring Security
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
return http
.csrf(csrf -> csrf.disable())
.sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
.authorizeHttpRequests(authorizeHttpRequests -> authorizeHttpRequests
.requestMatchers("/users/login").permitAll()
.requestMatchers("/users/register").permitAll()
.requestMatchers("files/**").permitAll()
.requestMatchers(HttpMethod.POST, "books").hasAnyAuthority("ADMIN")
.requestMatchers(HttpMethod.PUT, "books").hasAnyAuthority("ADMIN")
.requestMatchers(HttpMethod.DELETE, "books").hasAnyAuthority("ADMIN")
.anyRequest().authenticated()
).addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class)
.build();
}
Crear clase SecurityUtils
Con esta clase creamos un método getCurrentUser() o getAuthenticatedUser() que devuelva el usuario autenticado guardado en el contexto de seguridad:
import com.certidevs.model.User;
import org.springframework.security.core.context.SecurityContextHolder;
import java.util.Optional;
public class SecurityUtils {
private SecurityUtils() {}
/**
* Devuelve el usuario autenticado extraído de Spring Security
*
* Se utiliza así:
*
* User user = SecurityUtils.getCurrentUser().orElseThrow();
* @return
*/
public static Optional<User> getCurrentUser() {
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof User user) {
return Optional.of(user);
} else {
return Optional.empty();
}
}
public static boolean isAdminCurrentUser() {
if (getCurrentUser().isEmpty()) {
return false;
}
User user = getCurrentUser().get();
return user.getRole().equals(Role.ADMIN);
}
}
Esta clase permite obtener el usuario en cualquier lugar de la aplicación backend, como por ejemplo controladores o servicios.
En este ejemplo se utiliza para obtener el usuario autenticado y asignarlo a una reserva en un controlador:
Clase ReservationController:
@CrossOrigin("*") // Permitir acceso desde cualquier dominio desde el exterior
@RestController
@AllArgsConstructor
@Slf4j
public class ReservationController {
private final ReservationRepository repo;
@PostMapping("reservations")
public Reservation create(@RequestBody Reservation reservation){
SecurityUtils.getCurrentUser().ifPresent(user -> reservation.setUser(user));
return this.repo.save(reservation);
}
}
Otro ejemplo sería actualizar la propia cuenta del usuario desde el frontend:
@PutMapping("users/account")
public User update(@RequestBody User user) {
// Si está autenticado, y el usuario autenticado es ADMIN o es el mismo usuario que la variable user
// entonces actualizar, en caso contrario no actualizamos
SecurityUtils.getCurrentUser().ifPresent(currentUser -> {
if (currentUser.getRole() == Role.ADMIN || Objects.equals(currentUser.getId(), user.getId())) {
this.userRepository.save(user);
} else {
throw new RuntimeException("No puede actualizar"); // Reemplazar por Excepción personalizada
}
});
return user;
}
Otras lecciones de SpringBoot
Accede a todas las lecciones de SpringBoot y aprende con ejemplos prácticos de código y ejercicios de programación con IDE web sin instalar nada.
Introducción A Spring Boot
Introducción Y Entorno
Spring Boot Starters
Introducción Y Entorno
Inyección De Dependencias
Introducción Y Entorno
Crear Proyecto Con Spring Initializr
Introducción Y Entorno
Crear Proyecto Desde Visual Studio Code
Introducción Y Entorno
Controladores Spring Mvc
Spring Mvc Con Thymeleaf
Vista En Spring Mvc Con Thymeleaf
Spring Mvc Con Thymeleaf
Controladores Spring Rest
Spring Mvc Con Thymeleaf
Open Api Y Cómo Agregarlo En Spring Boot
Spring Mvc Con Thymeleaf
Servicios En Spring
Spring Mvc Con Thymeleaf
Clientes Resttemplate Y Restclient
Spring Mvc Con Thymeleaf
Rxjava En Spring Web
Spring Mvc Con Thymeleaf
Métodos Post En Controladores Mvc
Spring Mvc Con Thymeleaf
Métodos Get En Controladores Mvc
Spring Mvc Con Thymeleaf
Formularios En Spring Mvc
Spring Mvc Con Thymeleaf
Crear Proyecto Con Intellij Idea
Spring Mvc Con Thymeleaf
Introducción A Los Modelos Mvc
Spring Mvc Con Thymeleaf
Layouts Y Fragmentos En Thymeleaf
Spring Mvc Con Thymeleaf
Estilización Con Bootstrap Css
Spring Mvc Con Thymeleaf
Gestión De Errores Controlleradvice
Spring Mvc Con Thymeleaf
Estilización Con Tailwind Css
Spring Mvc Con Thymeleaf
Introducción A Controladores Rest
Spring Rest
Métodos Get En Controladores Rest
Spring Rest
Métodos Post En Controladores Rest
Spring Rest
Métodos Delete En Controladores Rest
Spring Rest
Métodos Put Y Patch En Controladores Rest
Spring Rest
Gestión De Errores Restcontrolleradvice
Spring Rest
Creación De Entidades Jpa
Spring Data Jpa
Asociaciones De Entidades Jpa
Spring Data Jpa
Repositorios Spring Data
Spring Data Jpa
Métodos Find En Repositorios
Spring Data Jpa
Inserción De Datos
Spring Data Jpa
Actualizar Datos De Base De Datos
Spring Data Jpa
Borrar Datos De Base De Datos
Spring Data Jpa
Consultas Jpql Con @Query En Spring Data Jpa
Spring Data Jpa
Api Query By Example (Qbe)
Spring Data Jpa
Api Specification
Spring Data Jpa
Repositorios Reactivos
Spring Data Jpa
Configuración Base De Datos Postgresql
Spring Data Jpa
Configuración Base De Datos Mysql
Spring Data Jpa
Introducción A Jpa Y Spring Data Jpa
Spring Data Jpa
Configuración Base De Datos H2
Spring Data Jpa
Testing Unitario De Componentes Y Servicios
Testing Con Spring Test
Testing De Repositorios Spring Data Jpa
Testing Con Spring Test
Testing Controladores Spring Mvc Con Thymeleaf
Testing Con Spring Test
Testing Controladores Rest Con Json
Testing Con Spring Test
Testing De Aplicaciones Reactivas Webflux
Testing Con Spring Test
Testing De Seguridad Spring Security
Testing Con Spring Test
Testing Con Apache Kafka
Testing Con Spring Test
Introducción Al Testing
Testing Con Spring Test
Introducción A Spring Security
Seguridad Con Spring Security
Seguridad Basada En Formulario
Seguridad Con Spring Security
Registro De Usuarios En Api Rest
Seguridad Con Spring Security
Login De Usuarios En Api Rest
Seguridad Con Spring Security
Validación Jwt En Api Rest
Seguridad Con Spring Security
Autenticación Jwt Completa En Api Rest
Seguridad Con Spring Security
Seguridad Jwt En Api Rest Reactiva Spring Webflux
Seguridad Con Spring Security
Autenticación Y Autorización Con Anotaciones
Seguridad Con Spring Security
Fundamentos De Autenticación Oauth
Seguridad Con Spring Security
Autenticación Oauth Con Github
Seguridad Con Spring Security
Testing Con Spring Security Test
Seguridad Con Spring Security
Autenticación Oauth En Api Rest
Seguridad Con Spring Security
Introducción A Spring Webflux
Reactividad Webflux
Spring Data R2dbc
Reactividad Webflux
Controlador Reactivo Basado En Anotaciones
Reactividad Webflux
Controlador Reactivo Basado En Funciones
Reactividad Webflux
Operadores Reactivos Básicos
Reactividad Webflux
Operadores Reactivos Avanzados
Reactividad Webflux
Cliente Reactivo Webclient
Reactividad Webflux
Introducción E Instalación De Apache Kafka
Mensajería Asíncrona
Crear Proyecto Con Apache Kafka
Mensajería Asíncrona
Creación De Producers
Mensajería Asíncrona
Creación De Consumers
Mensajería Asíncrona
Kafka Streams En Spring Boot
Mensajería Asíncrona
Integración Con Angular
Integración Frontend
Integración Con React
Integración Frontend
Integración Con Vue
Integración Frontend
Ejercicios de programación de SpringBoot
Evalúa tus conocimientos de esta lección Validación JWT en API REST con nuestros retos de programación de tipo Test, Puzzle, Código y Proyecto con VSCode, guiados por IA.
Crear entidades JPA
Código
Controladores Spring MVC
Código
Asociaciones de entidades JPA
Código
Creación de entidades
Test
Reto servicio PedidoService
Código
Reto controlador REST
Código
Consultas JPQL
Código
Reto test controlador REST
Código
Anotaciones JPA
Puzzle
Relación ManyToOne con Tarea y Proyecto
Proyecto
CRUD Customers Spring MVC + Spring Data JPA
Proyecto
Backend API REST con Spring Boot
Proyecto
Filtrar categorías por nombre
Código
Reto controlador MVC Categoría
Código
Entidad y repositorio
Código
Métodos derivados y consultas JPQL en repositorios
Código
En esta lección
Objetivos de aprendizaje de esta lección
- Crear un filtro que intercepte las peticiones HTTP
- Verificar el token JWT de las peticiones
- Identificar el usuario a partir del token JWT
- Cargar el usuario en el contexto de seguridad de Spring Security