Lecciones
Comenzar
Empezar a aprender
CodeGym /Cursos /Docker SELF /Seguridad y gestión de acceso

Seguridad y gestión de acceso

Docker SELF
Nivel 24 , Lección 0
Disponible

6.1 Autenticación y autorización de usuarios

En esta etapa vamos a revisar cómo garantizar la seguridad de nuestra aplicación multicontenedor y la gestión de acceso. Esto incluye la autenticación de usuarios, cifrado de datos, protección de API y configuración de conexiones seguras entre servicios.

Meta: garantizar que solo los usuarios registrados y autenticados puedan interactuar con la aplicación y realizar operaciones.

Implementación de JWT (JSON Web Token) para autenticación

Paso 1. Instalación de las librerías necesarias:

Terminal 

pip install Flask-JWT-Extended

Paso 2. Configuración de JWT en la aplicación Flask:

Añade los siguientes cambios en el archivo backend/app/__init__.py:

Python 

from flask_jwt_extended import JWTManager

app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] = 'postgresql://taskuser:taskpassword@database:5432/taskdb'
app.config['JWT_SECRET_KEY'] = 'your_jwt_secret_key'  # Reemplázalo por tu clave secreta
db = SQLAlchemy(app)
jwt = JWTManager(app)
        
from app import routes

Paso 3. Creación de rutas para registro y autorización:

Añade las siguientes rutas al archivo backend/app/routes.py:

Python 

from flask_jwt_extended import create_access_token, jwt_required, get_jwt_identity
from werkzeug.security import generate_password_hash, check_password_hash
from app.models import User, Task
        
@app.route('/register', methods=['POST'])
def register():
    data = request.get_json()
    hashed_password = generate_password_hash(data['password'], method='sha256')
    new_user = User(username=data['username'], password=hashed_password)
    db.session.add(new_user)
    db.session.commit()
    return jsonify({'message': 'Usuario registrado exitosamente'}), 201
        
@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    user = User.query.filter_by(username=data['username']).first()
    if not user or not check_password_hash(user.password, data['password']):
        return jsonify({'message': 'Credenciales inválidas'}), 401

    access_token = create_access_token(identity=user.id)
    return jsonify({'access_token': access_token}), 200

@app.route('/tasks', methods=['GET'])
@jwt_required()
def get_tasks():
    current_user_id = get_jwt_identity()
    tasks = Task.query.filter_by(owner_id=current_user_id).all()
    return jsonify([task.to_dict() for task in tasks])
Java webinar

Paso 4. Actualización del modelo User para almacenar contraseñas:

Actualiza el archivo backend/app/models.py:

Python 

from app import db

class User(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    password = db.Column(db.String(120), nullable=False)
    tasks = db.relationship('Task', backref='owner', lazy=True)

6.2 Cifrado de datos

Objetivo: garantizar la protección de los datos durante la transmisión entre el cliente y el servidor.

Uso de HTTPS

Paso 1. Configurar Nginx como reverse proxy con soporte para HTTPS:

Crea el archivo nginx.conf en el directorio raíz del proyecto:

Texto 

server {
    listen 80;
    server_name your_domain.com;
        
    location / {
        proxy_pass http://frontend:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
        
    location /api {
        proxy_pass http://backend:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Paso 2. Crear Dockerfile para Nginx:

Crea el archivo Dockerfile en el directorio nginx:

dockerfile 

FROM nginx:latest
COPY nginx.conf /etc/nginx/nginx.conf

Paso 3. Agregar Nginx en compose.yaml:

Actualiza el archivo compose.yaml añadiendo un servicio para Nginx:

Yaml 

version: '3'

services:
  frontend:
    build: ./frontend
    ports:
      - "3000:3000"
    networks:
      - task-network
        
  backend:
    build: ./backend
    ports:
      - "5000:5000"
    depends_on:
      - database
    networks:
      - task-network
    environment:
      - DATABASE_URL=postgresql://taskuser:taskpassword@database:5432/taskdb
        
  database:
    image: postgres:13
    environment:
      - POSTGRES_DB=taskdb
      - POSTGRES_USER=taskuser
      - POSTGRES_PASSWORD=taskpassword
    networks:
      - task-network
    volumes:
      - db-data:/var/lib/postgresql/data
        
  nginx:
    build: ./nginx
    ports:
      - "80:80"
    depends_on:
      - frontend
      - backend
    networks:
      - task-network
        
networks:
  task-network:
    driver: bridge
        
volumes:
  db-data:

6.3 Obtener un certificado SSL con Let's Encrypt

Paso 1. Instalar Certbot:

Sigue las instrucciones en el sitio oficial de Certbot para instalar Certbot.

Paso 2. Obtener el certificado:

Terminal 

sudo certbot certonly --standalone -d your_domain.com

Paso 3. Configurar Nginx para usar SSL:

Actualiza nginx.conf para usar SSL:

Text 

server {
    listen 80;
    server_name your_domain.com;
    return 301 https://$host$request_uri;
}
        
server {
    listen 443 ssl;
    server_name your_domain.com;
        
    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;
        
    location / {
        proxy_pass http://frontend:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
        
    location /api {
        proxy_pass http://backend:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Paso 4. Actualizar Dockerfile para Nginx para copiar los certificados:

dockerfile 

FROM nginx:latest
COPY nginx.conf /etc/nginx/nginx.conf
COPY /etc/letsencrypt /etc/letsencrypt

6.4 Protección del API

Objetivo: limitar el acceso al API y prevenir solicitudes no autorizadas.

Uso de JWT para proteger las rutas

Ya hemos añadido protección para las rutas de tareas utilizando el decorador @jwt_required(). Asegúrate de que todas las rutas sensibles estén protegidas con este decorador:

Python 

from flask_jwt_extended import jwt_required, get_jwt_identity

@app.route('/tasks', methods=['GET'])
@jwt_required()
def get_tasks():
    current_user_id = get_jwt_identity()
    tasks = Task.query.filter_by(owner_id=current_user_id).all()
    return jsonify([task.to_dict() for task in tasks])

Limitación de acceso a la base de datos

Objetivo: prevenir el acceso no autorizado a la base de datos.

Configuración de roles y privilegios

Paso 1. Creación de un usuario con privilegios limitados:

SQL 

CREATE USER limited_user WITH PASSWORD 'limited_password';
GRANT CONNECT ON DATABASE taskdb TO limited_user;
GRANT USAGE ON SCHEMA public TO limited_user;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO limited_user;

Paso 2. Actualización de la variable de entorno DATABASE_URL:

Actualiza la variable de entorno DATABASE_URL en el archivo compose.yaml:

Yaml 

environment:
  - DATABASE_URL=postgresql://limited_user:limited_password@database:5432/taskdb
Comentarios
TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION