Autenticación JWT con Spring Boot y Angular: Bug en el Refresh Token

Показать описание

En este tutorial vamos solventar una vulneración de seguridad que hay en el método refreshToken del backend, la cual permite modificar el token desde el navegador y obtener privilegios de admin.

Aquí tienes la lista completa:

Y los repositorios hasta el momento:

Repositorios del CRUD básico:

Repositorios finales del proyecto:

Lista de reproducción completa:

#jwt #angular #springboot

Luigi Code

Рекомендации по теме

Комментарии

Gracias Luigi. Sigo esperando el siguiente video donde se cifra el token antes de almacenarlo en el LocalStorage. Saludos!

lauradilcab

Muchas gracias se espera con ancias el proximo video!!

filipayaviri

gracias por tus tutoriales, son de muchísima ayuda, los q estudiamos informática muchas veces los profesores enseñan siempre lo básico, pero con estos videos se complementa el aprendizaje.

blogginfo

Gracias por compartir todo ese conocimiento

camiloestrada

¡Gracias por todo el conocimiento que ha compartido con nosotros, y que he aprendido mucho de usted!

amadeuscam

Hola Luigi, partiendo del tutorial, ahora tengo una pagina que muestra los datos del perfil del usuario logado, con el objetivo de permitir al usuario modificar los mismos. Estos datos, incluido el id, los obtuve mediante los claims del token. ¿Cómo podría ahora implementar la edición de los datos de dicho usuario sin afectar a la seguridad de la aplicación?, es decir, en la configuración de Spring Security del API, indico que el punto de entrada POST "api/usuarios/{id}" sólo es accesible cuando se está autenticado, y el cual recibe el id del usuario logado y el dto con los datos modificados. Pero... ¿Cómo hago para que otro usuario autenticado no pueda llamar al método enviando un id al azar, y por lo tanto, modificando los datos de dicho usuario? ¿Habría que enviar al método también el token y comparar el id con el del token? Gracias por tu trabajo

josemarialunapacheco

Muchas gracias funciona perfecto, estoy implementando este codigo pero la autenticacion la hago con ADAM (Active directory) por lo que no almaceno contraseñas, solo utilizo el recurso y una vez que me deja pasar genereo el token, pero es muy parecido, solo me falta el logout, es decir un boton que diga cerrar sesion y elimine el token y el refreshtoken, eso como se puede hacer? Saludos desde Mexico

juanjuarez

Hola Luigi. Perdon la molestia y ante todo muchisimas gracias por tus tutoriales.
Se me genera una duda ya que realicé una modificación del código para que solo usuarios administradores pudieran crear una nueva cuenta.
La duda o el problema que tengo es que cuando el Back devuelve un BAD_REQUEST ( ya sea por email incorrecto o usuario existente). Se borran el token del usuario logueado. Es decir se cierra la sesion en el front. Alguna sugerencia que puedas darme?
De hecho probé retornar return new ResponseEntity(new Mensaje("El nombre de usuario ya existe"), HttpStatus.BAD_OK); y funciona correctamente, es decir no le cierra la sesion al usuario.
GRACIAS!

raulnavas

Gracias por tu vídeo. Por favor Haz una saga de videos por favor de NFTs con Angular y Spring Boot

vianeyvargas

Hola Luigi,
Para cifrar el token antes de almacenarlo en el Local Storage, ¿qué librería se puede utilizar?

meganmorris

Hola Luigi, gracias por tus vídeos, podías hacer un vídeo modularizando la aplicación de Angular. Saludos

aaBlackDogaa

Hola luigi gran video, pero yo tengo un problema, ingreso en modo admin y al querer que liste me dice que no estoy autorizado, pero si me muestra el menú con las opciones del admin, por nesecito tu ayuda

danielbrito

Excelente canal, explicas demasiado bien.
Luigi podrías hacer un tutorial de websockets con jwt

fabianj.c.q.

Autenticación JWT con Spring Boot y Angular: Bug en el Refresh Token

¿Cómo crear el login? Spring Boot 3 + Spring Security 6 + JWT Authentication #backend

Autenticación JWT con Spring Boot 3 y Angular 15

Spring Boot 3 + Spring Security 6 - JWT Authentication and Authorisation [NEW] [2023]

Protege tu API usando JWT y Spring Security (2022)

Aprendiendo autenticación OAuth 2 y JWT con Spring Security Authorization Server! Parte 1 🔐💪🔥...

Spring Security & JWT | Spring Boot Backend #3

Autenticación JWT con Spring Boot y Angular: Actualización 2023: Control de excepciones

Autenticación JWT con Spring Boot y Angular: Actualización 2023: FrontEnd

#shorts '¿Cómo Funciona un JWT? 🛡️ Explicación Rápida y Clara'

Autenticación JWT con Angular, Springboot y MongoDB: parte1: Creación de Usuarios

Curso de Spring Boot y Angular - Autenticación con JWT y Spring Security

Autenticación JWT con Spring Webflux y MySQL: Capítulo 5: Roles y validación de Auth

Autenticación JWT con Spring Boot y Angular: Capítulo 1

Spring Security - Capitulo 2: Autorizacion y Autenticacion #jwt #springboot

Microservicios con Spring Boot: Capítulo 15: JWT(parte 1)

How to Easily Secure Your Fullstack ReactJS - Spring Boot Application With the JWT Authentication

¿Cómo crear el login? Angular + Spring Boot + JWT Authentication

Autenticación JWT con Spring Boot y Angular: Documentación con Swagger (parte 1)

Spring Security 6 - Spring Boot 3 - JWT. Desde lo básico

Autenticación JWT con Spring Boot y Angular: Capítulo 9

Autenticación JWT con Spring Boot y Angular: Bug en el Refresh Token

Autenticación JWT con Spring Boot y Angular: Actualización 2023 (métodos deprecated)

Entendiendo OAuth2. Spring Boot 3 + Spring Security 6 + OAuth Authorization 1.2.3 #backend

Cookie based authentication with Spring Security | Spring Boot Backend #3.2