Proceso de Log In

Sábado 26 11:00 PM - Domingo 27 12:20 PM

Esta entrada del blog documentará una sola sesión intensa que duró desde el sábado por la noche hasta el domingo al mediodía. La meta fue implementar un sistema de login con lógica para bloquear IPs después de múltiples intentos fallidos, registrar eventos en la bitácora de la base de datos, y crear toda la integración backend/frontend. Aunque parecía una tarea relativamente sencilla, nos tomó más de 8 horas de tiempo programando debido a varios desafíos que surgieron.

Concepto inicial
Cada intento fallido de login se registrara en una tabla BitacoraEvento.
Después de 5 intentos fallidos en 30 minutos, la IP quedara bloqueada por 10 minutos.
Estos eventos quedarían reflejados en una tabla relacionada con TipoEvento:
2 = Login no exitoso.
3 = Login bloqueado (lockout).

Obstáculos que surgieron:

1. La columna id en BitacoraEvento
Cuando intentamos registrar los eventos fallidos, recibimos un error:
Cannot insert the value NULL into column 'id'...
Esto fue porque la columna id no tenía configurado un IDENTITY(1,1) y esperaba que se le asignara manualmente un valor. No queríamos manejar manualmente las IDs, así que decidimos modificar la tabla para que el campo id se auto-generara. Esto nos ahorró muchos problemas.

2. El error de conexión tras limpiar intentos fallidos
Después de implementar la limpieza de intentos fallidos cuando el bloqueo expiraba, comenzamos a recibir errores 500 que mostraban “Error de conexión” en el frontend. Esto nos tuvo un buen rato perdidos hasta que revisamos bien los logs y descubrimos que:

const checkLockoutRequest = new sql.Request(connection);

pero nunca se había inicializado connection en esa parte del código. Un pequeño problema creado al tratar de reutilizar código ya creado en otras partes. La solución fue abrir la conexión una sola vez al principio del controlador y reutilizarla para todas las consultas.

3. Lógica para limpiar intentos fallidos tras el bloqueo

Descubrimos que, aunque el bloqueo (evento tipo 3) expiraba después de 10 minutos, los intentos fallidos (eventos tipo 2) seguían contando, porque no se limpiaban automáticamente. Esto provocaba que al siguiente intento el usuario se bloqueara de nuevo instantáneamente.

La solución fue limpiar los intentos fallidos cuando el bloqueo expiraba, asegurándonos de dar un "borrón y cuenta nueva" después de cada periodo de bloqueo.

Finalmente, mejoramos el frontend para:
  1. Consultar si la IP estaba bloqueada al cargar la página.
  2. Deshabilitar los campos de usuario y contraseña si estaba bloqueada.
  3. Mostrar un contador de minutos restantes.
Además, aplicamos algunos cambios visuales para que el login se viera más amigable.
Github commit

Comentarios

Publicar un comentario

Entradas más populares de este blog

CRUD empleado completo

  Domingo 8:00 AM a 6:00 PM Esta entrada cubre el desarrollo del CRUD de empleado. Se ponen las operaciones (Create, Read, Update, Delete) juntas para este blog pues, en muchos casos, fueron similares los errores y procesos de desarrollo. Creación de SPs:   La mayoría de estos procedimientos tienen la estructura: Declaración de parámetros y variables Validaciones para la inserción/modificación de datos Realizar los cambios en las tablas Capturar errores. Al utilizar esta estructura se facilita la depuración del código pues se sabe más fácilmente cómo y donde están los errores, siempre y cuando sean errores definidos por nosotros. Sin embargo, sí hubieron muchos problemas en esta parte. Muchas veces no se lograba una conexión al SP, en algunos casos se debía a que se enviaban datos incorrectos desde el backend ó frontend, en otros casos el SP en sí era el que estaba mal, pues generaba errores de inserción o aspectos similares, los cuales fueron difíciles de encontrar. Backend :...
Leer más

Creación de tablas y código del backend

Imagen
 Miércoles 23 11:00 am - 3:00 pm y 6:00 pm - 8:00 pm Como se indicó la entrada anterior, hoy se crearon las tablas a través de queries de SQL, las cuales se guardaron en caso de que se tenga que restaurar o modificar las tablas. Estas son todas las tablas creadas hasta el momento, ya con enlaces de FKs: Es posible que según se avance en la funcionalidad, se deba modificar o agregar nuevas tablas. Estas tablas además incluyen campos restringidos y con valores predeterminados cuando sea oportuno. De esta manera se puede asegurar que se guarden únicamente datos apropiados y que, en caso de faltar cierta información, se pueda llenar sin mayor problema. Además se trabajó en la parte de backend. Se volvió a reestructurar los archivos de esta carpeta para dividirlos de la siguiente manera: dbConfig.js: este archivo se encarga únicamente de contener la configuración adecuada para la conexión de la base de datos, la cual se logró obtener en la entrada del blog anterior. dbService.js: en est...
Leer más

Correcciones, primeras llamadas a BD y llenar las tablas

Imagen
 Viernes 9:00 pm a 3:00 am La entrada de este blog hablará de dos días. El primer día consistió en popular las tablas de la base de datos con los datos proporcionados por nuestro compañero Arturo. Esto fue más complicado de lo esperado por varios motivos: No se tenía el permiso para usar BULK: en sql, BULK permite cargar un archivo desde la computadora del usuario, sin embargo, el servidor parecía no tener el permiso necesario para permitir esto. Se intentó otorgarlo mediante la terminal, sin embargo, no se logró averiguar cómo se utiliza la terminal de Cloud Clusters correctamente. Como alternativa, se definió una variable SQL de tipo XML y copiar toda la información del documento a mano, ejecutando el proceso para cada tabla. Mal formato de tablas: Algunas de las tablas de la base de datos no tenían el formato apropiado que reflejaba los datos de prueba. Algunos ejemplos eran: PK's que tenían Identity (1,1) cuando los datos aportaban el Id, o, por el contrario, que la PK no tuvie...
Leer más