Fundamentos de la autenticación basada en sesiones

Questions and Answers

¿Cuál es el principal desafío que presenta el protocolo HTTP en la autenticación web tradicional?

• La dificultad para establecer una conexión segura entre el cliente y el servidor.
• La ausencia de un mecanismo para recordar la identidad del usuario entre peticiones. (correct)
• La incompatibilidad con los navegadores web modernos.
• La imposibilidad de almacenar información del usuario en el servidor.

¿Qué componente se introduce en la comunicación cliente-servidor para implementar la autenticación basada en sesiones?

• Un token de acceso único.
• Una sesión. (correct)
• Una cookie cifrada.
• Un certificado digital.

¿Cuál de las siguientes acciones NO forma parte del ciclo de vida típico de una sesión web?

• Inicio automático al acceder a una web.
• Validación del usuario mediante credenciales.
• Almacenamiento de datos del usuario en el cliente. (correct)
• Cierre manual o automático al cerrar el navegador.

En un sistema de autenticación basado en sesiones, ¿qué información se guarda típicamente en la sesión después de que un usuario se autentica exitosamente?

El nick o login del usuario y su rol. (A)

¿Qué rol juega el servidor en la autenticación basada en sesiones durante las peticiones sucesivas de un usuario?

Comprueba la sesión para determinar la identidad y los permisos del usuario. (B)

¿Cuál es el propósito principal de cerrar la sesión (logout) en una aplicación web que utiliza autenticación basada en sesiones?

Borrar los datos del usuario almacenados en la sesión. (D)

En un escenario donde un usuario accede a una web y luego intenta acceder a una zona restringida, ¿qué paso es esencial para que la aplicación permita el acceso?

Validar las credenciales del usuario contra la base de datos. (A)

¿Cuál es el propósito principal del middleware express-session en una aplicación Express?

Validar si un usuario ha sido autenticado antes de permitirle el acceso a ciertos recursos. (B)

¿Cómo influye la autenticación basada en sesiones en la experiencia del usuario al navegar por un sitio web?

Permite al usuario acceder a diferentes áreas del sitio sin autenticarse repetidamente durante la misma sesión. (A)

¿Qué función cumple el parámetro secret en la configuración de express-session?

Proporciona una clave de cifrado utilizada para proteger la información de la sesión al enviarla entre el cliente y el servidor. (B)

¿Cuál es el efecto de establecer el parámetro resave en true en la configuración de express-session?

Guarda la sesión en el almacenamiento cada vez que se realiza una petición, renovando así el tiempo de caducidad. (D)

¿En qué situación sería apropiado establecer el parámetro saveUninitialized en true en la configuración de express-session?

Cuando se requiere almacenar datos de usuarios que aún no se han validado, como información de un carrito de compras antes del inicio de sesión. (C)

¿Por qué es crucial configurar el middleware de sesión antes de definir los enrutadores en una aplicación Express?

Para que el middleware de sesión se aplique antes de que se procesen las rutas, permitiendo la autenticación y autorización previas. (C)

En el contexto de la autenticación con express-session, ¿qué paso precede inmediatamente al permitir el acceso a un usuario a una parte protegida de la aplicación?

La validación de las credenciales del usuario comparándolas con una base de datos. (A)

¿Qué vulnerabilidad de seguridad mitiga principalmente el uso de una clave secret robusta en la configuración de express-session?

Manipulación de sesiones mediante la predicción o el robo del identificador de sesión. (A)

Si una aplicación Express establece resave: false y un usuario visita repetidamente la misma página sin modificar su sesión, ¿qué ocurrirá con la sesión en el servidor?

La sesión solo se guardará en el almacenamiento si ha sido modificada. (B)

¿Qué método HTTP se utiliza comúnmente para recibir las credenciales de un usuario durante el proceso de inicio de sesión?

POST (D)

En el contexto del código proporcionado, ¿qué ocurrirá si las credenciales proporcionadas por el usuario no coinciden con ninguna entrada en el array usuarios?

Se renderizará la vista 'login' con un mensaje de error. (C)

¿Cuál es el propósito principal de la función middleware de autenticación en una aplicación Node.js?

Verificar si un usuario ha iniciado sesión antes de permitir el acceso a ciertas rutas. (B)

En el código proporcionado, ¿cómo se aplica el middleware de autenticación a una ruta específica?

Se pasa como segundo parámetro en la llamada a app.get(), app.post(), etc. (B)

Si la función middleware autenticacion detecta que no hay un usuario en sesión, ¿qué acción realizará?

Renderizará la vista 'login'. (D)

Considerando el código req.session.usuario = existeUsuario.usuario;, ¿qué tipo de dato se está almacenando en la sesión del usuario?

El nombre de usuario. (B)

¿Qué implicación tiene el uso de res.render('index') dentro del bloque if (existeUsuario.length > 0)?

Renderiza la vista 'index' para usuarios autenticados. (B)

Si quisieras permitir acceso a la ruta /protegido solo a usuarios con el rol de 'administrador', ¿cómo modificarías el middleware autenticacion para verificar el rol del usuario?

Crear un nuevo middleware específico para administradores y aplicarlo a la ruta. (A)

¿Cuál es el propósito principal de almacenar el rol de un usuario en la sesión después de la validación de credenciales?

Controlar el acceso a diferentes recursos y funcionalidades según el rol del usuario. (D)

¿Qué se necesita para crear un middleware que requiera parámetros adicionales, además de req, res y next?

Definir una función que reciba los parámetros y devuelva la función middleware con req, res y next. (B)

En el contexto de la autenticación basada en sesiones, ¿qué acción representa el cierre de sesión ('logout')?

La invalidación de la información del usuario almacenada en la sesión del servidor. (B)

¿Cómo se aplican múltiples middlewares a una ruta en Node.js?

Pasándolos uno tras otro, separados por comas, en la definición de la ruta. (B)

Considerando el siguiente código app.get('/protegidoAdmin', autenticacion, rol('admin'), (req, res) => { res.render('protegido_admin'); }), ¿qué función realiza el middleware rol('admin')?

Verificar que el usuario autenticado tenga el rol de administrador para acceder a la ruta. (D)

Si un usuario intenta acceder a la ruta /protegidoAdmin sin tener el rol de 'admin', utilizando el middleware rol proporcionado, ¿qué ocurrirá?

Se le redirigirá a la página de login. (B)

En el contexto del código proporcionado, si req.session.rol es indefinido o nulo, y se intenta acceder a una ruta protegida por el middleware rol('admin'), ¿cuál será el resultado?

El middleware tratará al usuario como si no tuviera el rol correcto y lo redirigirá a la página de login. (C)

¿Cuál es el propósito del siguiente bloque de código?

let rol = (rol) => { return (req, res, next) => { if (rol === req.session.rol) next(); else res.render('login'); } }

Crea un middleware para verificar si un usuario tiene un rol específico antes de permitir el acceso a una ruta. (D)

¿Cuál es el propósito principal del middleware que asocia la sesión con los recursos de la vista, como se describe en el texto?

Para permitir el acceso a la información de la sesión desde las plantillas de las vistas. (B)

En el contexto de la gestión de sesiones en Node.js con express-session, ¿qué significa el atributo resave?

Determina si la sesión debe guardarse nuevamente en el almacenamiento, incluso si no ha sido modificada. (A)

¿Qué ocurre al llamar al método req.session.destroy() dentro de una ruta en Node.js?

Elimina los datos de la sesión actual del usuario. (C)

¿Cuál es la diferencia clave entre usar expires y maxAge al establecer el tiempo de vida de una sesión en express-session?

expires establece una fecha de caducidad absoluta, mientras que maxAge establece un período de tiempo relativo desde el momento actual. (B)

¿En qué orden deben definirse el middleware de sesión y el middleware para acceder a la sesión desde las vistas en una aplicación Node.js con express-session?

Primero el middleware de sesión, luego el middleware para acceder a la sesión desde las vistas, y antes de los enrutadores. (C)

Si deseas configurar una sesión que expire después de 1 hora, ¿cómo configurarías el atributo expires utilizando Date.now()?

expires: new Date(Date.now() + (60 * 60 * 1000)) (C)

¿Cuál es el propósito del atributo saveUninitialized en la configuración de express-session?

Determina si se debe guardar una sesión que es nueva pero aún no ha sido modificada. (A)

Dentro de una plantilla de vista, ¿cómo se puede verificar si un usuario ha iniciado sesión utilizando la variable session definida en res.locals?

{% if (session and session.usuario) %} (B)

Flashcards

Array de usuarios

Array que contiene objetos con nombres de usuario y contraseñas.

Ruta '/login'

Ruta que recibe las credenciales del usuario y las verifica contra el array de usuarios.

req.session.usuario

Variable que almacena el nombre de usuario durante la sesión.

Middleware de autenticación

Función que verifica si un usuario ha iniciado sesión antes de permitir el acceso a una ruta.

Aplicar middleware

Uso del middleware de autenticación en una ruta específica.

Acceso no autorizado

Redirige al usuario a la página de login si no está autenticado.

Validar credenciales

Comprobar si existe el usuario y contraseña en la lista de usuarios.

Definición de roles

Control de acceso basado en la función o categoría del usuario (ej. admin, usuario normal).

Ruta de logout

Ruta en la aplicación que destruye los datos de sesión del usuario y redirige a otra página.

Middleware de sesión en vistas

Middleware que asocia la sesión con los recursos de la vista, permitiendo acceder a la sesión desde las plantillas.

Acceso a la sesión en vistas

La variable session está disponible en las vistas a través de res.locals.

Tiempo de vida de la sesión

Atributos expires o maxAge en la configuración de la sesión.

Unidades del tiempo de vida

Se especifica en milisegundos, generalmente usando Date.now() para calcular el tiempo de expiración desde el momento actual.

Orden de los middlewares

Middleware que configura la sesión debe ir antes que los enrutadores.

Función de la ruta '/logout'

Para cerrar la sesión del usuario y redirigirlo a la página principal.

Pasos para usar sesiones

Instalar el middleware express-session y configurarlo.

¿Qué es la autenticación basada en sesiones?

Mecanismo para autenticar usuarios en aplicaciones web basadas en navegadores y recordar su validación en visitas sucesivas.

¿Qué comprende una sesión web?

Conjunto de interacciones de un cliente con un servidor durante un período determinado.

¿Qué es un protocolo sin estado como HTTP?

El protocolo HTTP no guarda información entre peticiones consecutivas.

¿Qué añade la seguridad basada en sesiones?

Añade un elemento a la comunicación cliente-servidor para almacenar información del cliente.

¿Cuándo se pide validación en una web?

Para zonas restringidas, la aplicación pide validación (login y password).

¿Qué datos se almacenan en la sesión tras la validación?

Nick o login, y el perfil de usuario (rol: administrador, editor, visitante, etc.).

¿Qué comprueba el servidor en cada nueva petición?

Comprobar en la sesión quiénes somos y qué rol tenemos.

¿Qué ocurre al cerrar la sesión?

Cerrar la sesión (logout) borra los datos guardados de la visita.

Almacenar el rol del usuario

Almacenamiento del rol del usuario en la sesión tras la validación de credenciales.

Función middleware de rol

Una función que comprueba si el rol del usuario en la sesión coincide con el rol requerido para acceder a un recurso.

Middleware con parámetros adicionales

Es una función que necesita parámetros adicionales (como el rol) además de req, res, next y devuelve internamente la función middleware.

Aplicar múltiples middlewares

Se pasan uno tras otro, separados por comas, en la definición de la ruta. Esto permite aplicar múltiples validaciones.

Ruta protegida por rol

Una ruta accesible solo para usuarios autenticados con un rol específico (ej., 'admin').

Cierre de sesión (logout)

El proceso de finalizar una sesión activa, eliminando la información del usuario almacenada en la sesión.

Implementación del logout

Eliminar la propiedad req.session.usuario o destruir completamente el objeto req.session.

Destruir la sesión

Método para destruir la sesión en el servidor, eliminando los datos de la sesión del usuario.

¿Qué es express-session?

Módulo de Express que permite verificar si un usuario se ha validado antes de permitir el acceso.

¿Cómo se instala express-session?

Se instala con el comando npm install express-session.

¿Cómo se incorpora express-session en Express?

Requiere express y express-session usando require. Ejemplo: const express = require('express');

¿Qué es 'secret' en la configuración de express-session?

Clave de cifrado para la sesión, utilizada para enviar la sesión cifrada entre cliente y servidor.

¿Qué hace 'resave' en express-session?

Refresca la sesión con cada nuevo acceso, extendiendo su tiempo de vida.

¿Qué significa 'saveUninitialized' en express-session?

Determina si se guardan sesiones que no han sido completadas (usuarios no validados).

¿Dónde se configura la sesión en Express?

Antes de definir enrutadores para que el middleware de sesión se aplique correctamente.

¿Qué es la validación en autenticación?

Proceso donde el usuario envía sus credenciales para ser verificadas con la base de datos.

Study Notes

• La seguridad basada en sesiones es un mecanismo común para definir la autenticación en aplicaciones web tradicionales.
• El protocolo HTTP es sin estado, lo que dificulta que el servidor recuerde a los usuarios.
• Los mecanismos de seguridad basados en sesiones añaden un elemento de sesión a la comunicación cliente-servidor, permitiendo almacenar información sobre el cliente.
• El servidor puede recordar al cliente y concederle acceso cuando éste regresa.

Fundamentos de la autenticación basada en sesiones

• La autenticación basada en sesiones permite autenticar a los usuarios en aplicaciones web y "recordar" al usuario a través de múltiples visitas.
• Las sesiones son interacciones entre un cliente y un servidor durante un período.
• Acceder a una web inicia una sesión, y la aplicación recuerda los pasos dados en la sesión actual.
• Al acceder a una zona restringida, la aplicación solicita validación a través de un login y contraseña.
• Si las credenciales son correctas, la sesión almacena datos del usuario, como el nombre de usuario y el rol.
• El servidor comprueba quiénes somos y nuestro rol en cada nueva solicitud, permitiéndonos hacer ciertas cosas.
• Se puede cerrar la sesión (logout) y borrar los datos guardados.

Definición de sesiones en Express

• El módulo express-session es un middleware para trabajar con sesiones en Express.
• Permite determinar si el usuario ha sido validado y con qué credenciales antes de conceder el acceso.
• Primer paso es instalar el módulo: npm install express-session
• Se debe configurar la sesión dentro de la aplicación Express, incluyendo una clave secreta, resave, y saveUninitialized.
• secretes una clave de cifrado para la sesión, similar a una palabra secreta para cifrar un token.
• resave se utiliza para refrescar la sesión en cada nuevo acceso, renovando el tiempo de caducidad.
• saveUninitialized sirve para guardar sesiones aunque no se hayan completado, útil para almacenar datos de usuarios no validados.
• La configuración de la sesión debe hacerse antes de definir los enrutadores.

Validación

• En todo proceso de autenticación, se requiere una validación previa, donde el usuario proporciona sus credenciales cotejadas con la base de datos.
• Se asume que tenemos a los usuarios listados en un array, con su usuario nombre y contraseña.
• Una ruta, normalmente con POST, recoge y coteja las credenciales enviadas.
• Si se encuentra la información del usuario, se guarda el nombre en la sesión y se redirige a una página de inicio.
• De otro modo, se puede redirigir a una página de inicio de sesión con un mensaje de error.

Autenticación

• Se usa un middleware que se aplica en cada ruta que queremos proteger, para verificar la sesión.
• Si existe un usuario en sesión, la solicitud pasa. De lo contrario, se envía a la página para iniciar sesión.
• Este middleware debe aplicarse en cada ruta (GET, POST, PUT, DELETE) que requiera validación.

Definiendo Roles

• Las aplicaciones pueden tener roles para usuarios registrados, como administradores y usuarios normales.
• Para comprobar permisos, podemos definir otro middleware que compruebe el rol del usuario
• Se pueden aplicar los roles a una ruta determinada, comprobarlo en la autenticación y comprobar si tiene el rol adecuado, separados por comas, en la definición de la ruta.

Otras opciones

• El texto incluye opciones como el cierre de sesión (logout), Acceder a la sesión desde las vistas, Tiempo de vida de la sesión

Cierre de sesión o logout

• Se define una ruta que responda a la petición de logout y destruya todos los datos del usuario, reenviando a otro recurso.

Acceder a la sesión desde las vistas

• Se utiliza un middleware que asocia la sesión con los recursos de la vista.
• Este middleware debe definirse después del middleware que configura la sesión y antes de los enrutadores.
• Luego, se puede acceder a esta sesión desde las vistas, a través de la variable session que hemos definido en la respuesta (res.locals).

Tiempo de vida de la sesión

• Se puede establecer el tiempo de vida de la sesión, cuando la configuramos.
• Podemos hacerlo indistintamente el atributo expires o el atributo maxAge, con una diferente sintaxis distinta según cuál utilicemos.
• Se indica el número de milisegundos de vida, usando Date.now() en estos cálculos.
• Se proporciona un ejemplo completo con una página de inicio pública, una restringida para usuarios validados y otra restringida para usuarios administradores, así como un formulario de inicio de sesión y una ruta de cierre de sesión.

Description

Aprenda sobre la autenticación basada en sesiones, un mecanismo común para definir la autenticación en aplicaciones web. Este enfoque permite a los servidores recordar a los usuarios a pesar de la naturaleza sin estado del protocolo HTTP. Descubra cómo las sesiones facilitan la gestión de la información del cliente y el acceso continuo.