Patrones de arquitectura en microservicios: seguridad.

Continuamos con nuestra serie sobre patrones de arquitectura de microservicios, y en esta ocasión hablaremos de seguridad. Si te has perdido alguno de los posts anteriores de esta serie, te animo a que les eches un vistazo 😉:

1. Patrones de arquitectura de microservicios, ¿qué son y qué ventajas nos ofrecen?
2. Patrones de arquitectura: organización y estructura de microservicios.
3. Patrones de arquitectura: comunicación y coordinación de microservicios.
4. Patrones de arquitectura de microservicios: SAGA, API Gateway y Service Discovery.
5. Patrones de arquitectura de microservicios: Event Sourcing y arquitectura orientada a eventos (EDA).
6. Patrones de arquitectura de microservicios: comunicación y coordinación con CQRS, BFF y Outbox.
7. Patrones de microservicios: escalabilidad y gestión de recursos con escalado automático.
8. Patrones de arquitectura: de monolitos a microservicios
9. Configuración externalizada.
10. Consumer-Driven Contract Testing.

Introducción general a la seguridad en microservicios

En un entorno de microservicios, la funcionalidad de una aplicación grande se fragmenta en múltiples servicios independientes, cada uno con responsabilidades concretas.

Seguimos con el hilo conductor de todos los posts que venimos haciendo, el ejemplo de un e-commerce, donde podría ser:

• Servicio de catálogo: manejo de productos, categorías, inventarios, entre otros.
• Servicio de carrito (Cart Service): adición y eliminación de productos en el carrito, cálculo de costos parciales, aplicación de cupones, etc.
• Servicio de pedidos (Order Service): procesar la creación de órdenes, envío de confirmaciones, comunicación con la pasarela de pagos, etc.
• Servicio de autenticación y autorización (Auth Service): gestión de usuarios, tokens y permisos.

Cada uno de estos servicios se comunicará con el resto (o con un gateway) para completar los flujos de negocio. Sin embargo, cuando se construye un sistema distribuido, surge el desafío de cómo asegurar que cada solicitud proviene de un cliente legítimo y que las operaciones que se desean realizar están debidamente autorizadas.

Tradicionalmente, cuando se construía un sistema monolítico, la seguridad se gestionaba habitualmente mediante:

• Sesiones de servidor (cookies de sesión).
• Un mecanismo centralizado que validaba usuarios y roles.

En microservicios, esto se complica porque:

• La aplicación es stateless, o se pretende que lo sea, para favorecer la escalabilidad.
• Cada servicio debe verificar la legitimidad de la llamada, preferiblemente sin necesidad de contactar permanentemente a un servicio central, pues ello puede introducir latencia o un punto único de falla.
• Debemos manejar la autenticación (qué usuario es) y la autorización (qué puede hacer ese usuario).

Importancia del dato

En cualquier aplicación la seguridad es crucial si (poniendo de ejemplo un ecommerce):

• Se manejan datos personales (nombre, dirección, correo electrónico).
• Se procesan transacciones de pago.
• Se almacenan métodos de pago (tarjetas de crédito, cuentas PayPal, etc.).
• Existen datos sensibles que pueden exponer el negocio a fraudes y al incumplimiento de normativas (por ejemplo, PCI DSS para tarjetas).

Por lo tanto, asegurar que las comunicaciones están correctamente autenticadas y que cada usuario solo acceda a sus recursos es fundamental.

Patrones de seguridad en microservicios

Para este artículo, nos centraremos en tres patrones que suelen usarse en la práctica.

1. Token-based Authentication (autenticación basada en tokens).
2. OAuth (Open Authorization).
3. JWT (JSON Web Tokens).

Si bien existen otros enfoques (SAML, Basic Auth sobre TLS, Kerberos, etc.), estos tres se han vuelto especialmente populares en el contexto de arquitecturas modernas de microservicios y APIs REST.

Nota. Como veremos, vamos a dividir en 2 las entregas de estos patrones. En el primero veremos Token-based Authentication y Oauth, mientras que en el segundo, JWT y alguna comparativa más interesante.

Nota 2. Los ejemplos de código son únicamente para entender los conceptos. Puede haber partes incompletas o con trozos demostrativos que no aplicarían a entornos reales.

1 Token-Based Authentication (Autenticación Basada en Tokens)

Descripción general

En la autenticación basada en tokens, un cliente (por ejemplo, una aplicación web en JavaScript, una app móvil, etc.) envía credenciales (usuario, contraseña) a un servicio de autenticación. Tras validar las credenciales, dicho servicio emite un token (comúnmente un string único, por ejemplo un UUID o un hash). Este token se utiliza en adelante para todas las peticiones posteriores: el cliente lo adjunta normalmente en la cabecera Authorization (generalmente Bearer <token> ) y, a su vez, el servicio receptor valida ese token para conceder o denegar el acceso.

Ventajas:

• No se guardan sesiones de usuario en el servidor de manera tradicional.
• El sistema puede ser stateless si usamos tokens efímeros o si la validación se hace en un repositorio central muy rápido (Redis, por ejemplo).
• Se integra bien con aplicaciones SPA (Single Page Applications) o con clientes móviles, que pueden almacenar el token de forma segura (con sus debidas precauciones).

Desventajas:

• Necesidad de un almacén (si queremos revocar tokens o invalidarlos antes de su expiración).
• La gestión de expiraciones y la seguridad de almacenamiento del token en el cliente requieren atención.
• Posible sobrecarga si cada servicio hace consultas constantes a un repositorio central para validar el token.

Escenario en e-commerce

Supongamos que tenemos:

• Servicio de autenticación (Auth Service): expide tokens y valida credenciales.
• Servicio de carrito y servicio de pedidos: necesitan confirmar que quien hace la operación sea un usuario auténtico.

El flujo sería algo así:

1. Login: el cliente envía usuario y contraseña al Auth Service a través de un endpoint como POST /auth/login.
2. Generación de token

• El Auth Service valida las credenciales y genera un token único, lo asocia internamente al usuario y lo almacena en un sistema como Redis (clave: , valor: datos del usuario y fecha de expiración).
• Retorna el token al cliente.

3. Uso del token

• El cliente invoca, por ejemplo, el Servicio de carrito en POST /cart/items con la cabecera Authorization: Bearer <token>.
• El Servicio de carrito, al recibir la petición, llama (si así está configurado) al Auth Service o directamente verifica en el repositorio (Redis) si el token es válido.
• Si el token existe y está vigente, permite la operación; de lo contrario, la bloquea.

El diagrama de flujo quedaría así:

El diagrama de secuencia:

Implementación detallada en Spring Boot

Veamos un ejemplo de cómo se puede configurar esta autenticación en un proyecto Java con Spring Boot.

1. Dependencias recomendadas

En tu pom.xml (asumiendo Maven), podrías tener:

<dependencies>
    <!-- Para seguridad básica en Spring -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <!-- Para gestionar datos en Redis, si usamos Redis para tokens -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>


    <!-- Otras dependencias necesarias para tu e-commerce -->
    <!-- ... -->
</dependencies>

2. Configuración de Redis (opcional pero común)

Si optamos por almacenar tokens en Redis, configuramos en application.yml:

spring:
  redis:
    host: localhost
    port: 6379

3. Clase de servicio para manejo de tokens

Este servicio centraliza la lógica de:

• Generar tokens (por ejemplo, usando UUID.randomUUID().toString()).
• Almacenar y validar tokens en un repositorio (puede ser Redis, una base de datos SQL, un in-memory store, etc.).
• Obtener información de usuario asociada a cada token (ej. username, roles).

@Service
public class TokenService {

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    // Duración de los tokens en segundos, por ejemplo 2 horas
    private final long TOKEN_EXPIRATION_SEC = 7200;

    public String generateTokenForUser(String username) {
        String token = UUID.randomUUID().toString();


        // Guardamos en Redis con expiración
        // Podríamos guardar un objeto con roles, nombre, email, etc.
        redisTemplate.opsForValue().set(token, username, TOKEN_EXPIRATION_SEC, TimeUnit.SECONDS);
        return token;
    }

    public boolean isValidToken(String token) {
        String username = (String) redisTemplate.opsForValue().get(token);
        return username != null; // El token existe y no ha expirado
    }

    public String getUsernameFromToken(String token) {
        return (String) redisTemplate.opsForValue().get(token);
    }

    public void revokeToken(String token) {
        // Eliminar token de Redis manualmente si se desea revocarlo
        redisTemplate.delete(token);
    }

   public void revokeAllTokensForUser(String username) {
       Set<String> keys = redisTemplate.keys("*"); // Buscar todas las claves
       if (keys != null) {
          for (String key : keys) {
              String storedUsername = (String) redisTemplate.opsForValue().get(key);
              if (username.equals(storedUsername)) {
                  redisTemplate.delete(key); // Elimina los tokens del usuario
              }
          }
      }
  }
}

Aquí, cada token se asocia con un username, pero en un sistema de e-commerce real incluiríamos más detalles (roles, ID del usuario, etc.). Cada vez que generamos un token, usamos un UUID y lo guardamos con un tiempo de expiración definido en Redis.

4. Filtro de autenticación (TokenAuthenticationFilter)

El filtro se encarga de interceptar cada solicitud HTTP, extraer el token (si existe) y validar su legitimidad. Solo si el token es válido, se marca al usuario como autenticado en el contexto de Spring Security.

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private TokenService tokenService;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain)
                                    throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        String token = null;

        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            token = authHeader.substring(7);
        }

        if (token != null && tokenService.isValidToken(token)) {
            String username = tokenService.getUsernameFromToken(token);


            // Se podría cargar más info del usuario para asignar roles
            UserDetails userDetails = new User(username, "",
                    Collections.singletonList(new SimpleGrantedAuthority("ROLE_USER")));

            // Spring Security requiere un objeto de Authentication para "loguear" al usuario
            UsernamePasswordAuthenticationToken authentication =
                    new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

            // Se establece en el contexto de seguridad de Spring
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }

        // Continúa la cadena de filtros
        filterChain.doFilter(request, response);
    }
}

5. Configuración de seguridad

La clase SecurityConfig utiliza la infraestructura de Spring Security para definir:

• Qué rutas están abiertas (por ejemplo, el login).
• Qué rutas requieren autenticación.
• En qué punto de la cadena de filtros se aplica el filtro de autenticación.

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http, 
    TokenAuthenticationFilter tokenAuthenticationFilter) throws Exception {
        return http
            .csrf(csrf -> csrf.ignoringRequestMatchers("/auth/login")) // Mejor práctica
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/auth/login", "/public/**").permitAll() // Sección pública
                .anyRequest().authenticated()
            )
            .addFilterBefore(tokenAuthenticationFilter, 
                UsernamePasswordAuthenticationFilter.class)
            .build();
    }
}

6. Controlador de autenticación

Podríamos crear un controlador para manejar el login:

@RestController
@RequestMapping("/auth")
public class AuthController {

    @Autowired
    private TokenService tokenService;

    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) {
        // Validar credenciales: esto podría implicar consultar una base de datos
        // Suponemos un usuario "demo" con la contraseña "password" para el ejemplo.


        if ("demo".equals(loginRequest.getUsername()) 
                && "password".equals(loginRequest.getPassword())) {
            String token = tokenService.generateTokenForUser(loginRequest.getUsername());
            return ResponseEntity.ok(Collections.singletonMap("token", token));
        } else {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED)
                                 .body("Credenciales inválidas");
        }
    }
}

class LoginRequest {
    private String username;
    private String password;
    // Getters y Setters
}

7. Flujo del proceso

El diagrama muestra dos fases principales de la de la autenticación basada en tokens:

Fase 1: flujo de login

• El user envía sus credenciales a la ruta POST /auth/login.
• El AuthController procesa la petición y llama a un método de validación en TokenService (internamente o a través de un UserService, puede verificar la contraseña).
• El TokenService podría consultar a Redis (o una base de datos) para validar el estado del usuario o recuperar datos adicionales (opcional).
• Redis responde con la información necesaria (usuario encontrado, etc.).
• El TokenService genera el token (por ejemplo, usando UUID.randomUUID()).
• El TokenService almacena la relación token -> userId en Redis con una expiración definida.
• El TokenService retorna el token al AuthController.
• El AuthController envía la respuesta JSON al User con el token ({"token":"<uuid>"}).

Fase 2: llamada a un recurso protegido

• El user hace una petición GET /protected (o cualquier otro endpoint protegido), incluyendo la cabecera Authorization: Bearer <token>.
• Antes de llegar al controlador real, la petición es interceptada por el TokenAuthenticationFilter (configurado en SecurityConfig).
• El filter llama a TokenService para verificar si el token sigue siendo válido.
• El TokenService consulta a Redis la existencia y/o expiración de dicho token.
• Redis responde confirmando si el token es válido o si ya expiró / no existe.
• El TokenService notifica al filter el resultado (válido o no).
• Si es válido, el filter “deja pasar” la ejecución al ProtectedController. Si no, se retorna un error 401.
• El ProtectedController maneja la petición y finalmente responde al user. Puede ser un 200 OK si todo salió bien, o 401 Unauthorized si el token era inválido.

Conclusión sobre Token-Based Authentication

Este patrón es bastante directo y más fácil de implementar que otros, pero requiere gestionar con cuidado el almacenamiento de los tokens y su revocación. Si tu sistema de e-commerce requiere revocar tokens rápidamente (por ejemplo, cuentas bloqueadas), deberás tener un enfoque central o un broadcast que invalide tokens en todos los nodos.

OAuth (Open Authorization)

Descripción general

OAuth es un protocolo de autorización que permite a los usuarios compartir recursos protegidos con aplicaciones de terceros sin ceder sus credenciales directamente. Con OAuth 2.0, se introdujeron varios flujos (grants), siendo uno de los más comunes el Authorization Code Grant, empleado cuando queremos delegar la autenticación en un proveedor externo (Google, Facebook, GitHub, etc.), o en un servidor de autorización que despleguemos (como Keycloak, Okta, etc.).

Nota: OAuth no es estrictamente un protocolo de autenticación (aunque se use como tal en “login con Google/Facebook”), sino de autorización. Para autenticación real basada en OAuth2, se usa OpenID Connect (OIDC), que añade una capa de identidad sobre OAuth2, proporcionando un ID Token con información del usuario.

Escenario en e-commerce

• Registrarse con correo y contraseña, o
• Iniciar sesión con Google u otro proveedor.

En este último caso, en lugar de almacenar directamente la contraseña del usuario, redirigimos al usuario a la página de Google para que se autentique. Una vez que Google verifica la identidad, nos devuelve un código que intercambiamos por un access token. Con ese token, consultamos la API de Google para obtener información del perfil (nombre, email, foto, etc.). Acto seguido, creamos o encontramos al usuario en nuestra base de datos interna y le damos acceso.

Configuración en Spring Boot (OAuth2 Client)

La versión de Spring Security 5 (y superiores) simplifica mucho la configuración de OAuth2. Para integrarnos con Google, añadimos a pom.xml:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

1. application.yml

En el archivo application.yml (o application.properties), se define la información de registro (registration) y el proveedor (provider).

Un ejemplo con Google es:

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: TU_CLIENT_ID_DE_GOOGLE
            client-secret: TU_CLIENT_SECRET_DE_GOOGLE
            scope: 
              - email
              - profile
            redirect-uri: "{baseUrl}/login/oauth2/code/google"
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/v2/auth
            token-uri: https://www.googleapis.com/oauth2/v4/token
            user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo

• client-id y client-secret: son los datos que obtienes cuando registras tu aplicación en la consola de APIs de Google.
• scope: lista de datos que solicitaremos al proveedor (por ejemplo, email, profile).
• redirect-uri: la URL donde el proveedor enviará el código de autorización. "{baseUrl}/login/oauth2/code/google" es un placeholder que Spring rellena automáticamente según tu dominio (por ejemplo, https://www.paradigmadigital.com/login/oauth2/code/google).
• authorization-uri, token-uri y user-info-uri: URLs específicas de Google para completar el flujo OAuth2 (pedir permiso, intercambiar el código por un token y obtener la información de perfil del usuario, respectivamente).

2. Configuración de seguridad

Una vez definidas las propiedades anteriores, creas una clase de configuración que extienda WebSecurityConfigurerAdapter (para versiones de Spring Security < 6.x) o bien uses la nueva aproximación declarativa (desde Spring Boot 3).

Aquí se muestra el enfoque tradicional:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // Autorizamos ciertos endpoints
            .authorizeRequests()
            .antMatchers("/", "/login", "/error").permitAll()
            .anyRequest().authenticated()
            .and()
            // Configuramos el login con OAuth2
            .oauth2Login()
                .defaultSuccessUrl("/home")
                .failureUrl("/login?error=true");
    }
}

De esta forma, Spring Security gestiona el ciclo de OAuth:

• Cuando el usuario accede a /oauth2/authorization/google, se redirige a Google.
• Google pide credenciales al usuario.
• Tras loguearse en Google, se redirige a http:///login/oauth2/code/google.
• Spring intercambia el código por el access token. Si la aplicación solicita permisos offline (scope offline_access), Google también devuelve un refresh token. Este token permite obtener nuevos access tokens sin que el usuario vuelva a autenticarse.
• Spring Security obtiene los datos del usuario en la URI de User Info de Google. Si la autenticación requiere sesiones prolongadas, el refresh token puede almacenarse en la base de datos para permitir renovaciones de acceso sin pedir credenciales nuevamente.
• Internamente, se crea un objeto OAuth2User y se inicia sesión en la aplicación.

En un diagrama de flujo sería algo así:

Uso en microservicios

Podríamos tener un Authorization Server propio, como Keycloak, que maneje a la vez la autenticación y la autorización. En un entorno de microservicios, cada servicio podría:

• Validar el token de acceso mediante introspección (/introspect endpoint) o usando un JWT firmado por Keycloak.
• Asignar políticas de acceso basadas en roles y scopes de OAuth.

En un e-commerce, esto es particularmente útil si pretendemos:

• Permitir que aplicaciones externas (terceros) interactúen con nuestra API con ciertos permisos.
• Autenticación unificada para varios frentes (web, móviles, socios, etc.).
• Delegar la seguridad en un sistema robusto que ya implementa flujos de refresh tokens, administración de usuarios, logout, etc.

Conclusión sobre OAuth

OAuth es poderoso y flexible, pero puede ser más complejo de configurar y mantener, sobre todo si necesitamos manejar nosotros mismos un servidor de autorización. Sin embargo, cuando requerimos integrarnos con proveedores externos o delegar la autenticación a servicios confiables (p. ej., Google), OAuth2 es un estándar prácticamente universal.

En la siguiente entrega

A continuación, veremos el detalle sobre JWT, ejemplo de arquitectura híbrida (OAuth2 + JWT), buenas prácticas y una comparativa bastante interesante.

Te leo en comentarios 👇.