Incluir un certificado en Express para servir el API mediante HTTPS (9ª parte de creación de una API REST con Express y TypeScript)

En las entradas anteriores de la serie se han visto las bases para la creación de una API REST con Express. Aprendiendo en las mismas como configurar el servidor, crear las rutas, registrar en un log todas las operaciones, autenticar las peticiones mediante JWT y registrar usuarios localmente. Hasta ahora, en las entradas anteriores, se ha utilizado siempre el protocolo HTTP para realizar las peticiones al servidor. Un protocolo que no es seguro debido a que los datos viajan sin protección y, por lo tanto, cualquiera que tenga acceso a la conexión puede leer tanto las peticiones del cliente como las respuestas del servidor, incluyendo datos confidenciales como las contraseñas de acceso de los usuarios. Problema que se puede solucionar mediante el uso del protocolo HTTPS en lugar de HTTP. Para lo que se deberá usar un certificado en Express y realizar una configuración mínima.

Esta entrada forma parte de la serie “Creación de una API REST con Express y TypeScript” de la cual forman los siguientes entregas:

1. Creación de una API REST con Express y TypeScript
2. Organizar el código del proyecto
3. Configurar TypeORM para acceder a la base de datos
4. Creación de rutas para consultar y agregar los registros
5. Creación de rutas para modificar y borrar los registros
6. Agregando logs al API con Winston
7. Requerir autenticación mediante JWT
8. Registro de usuarios
9. Incluir un certificado en Express para servir el API mediante HTTPS
10. Ejecutar la aplicación en producción con PM2

Creación de un certificado con OpenSSL

Para que un servidor web pueda aceptar conexiones HTTPS es necesario disponer de un certificado de clave pública para el mismo. Pudiéndose obtener este de una autoridad de certificación, como Let’s Encrypt, o generado internamente. Si se desea publicar el API en Internet el certificado debería estar firmado por una autoridad que certifique que el usuario es quien dice ser. En el caso de que no sea así los navegadores suelen advertir que la página a la que se accede no es segura, ya que el certificado no se ha firmado por una autoridad de certificación. Para su uso en una red interna, los certificados sin firmar (autogenerados) suelen ser suficientes.

El método más fácil para la creación de un certificado para un servidor web es usar OpenSSL. Un programa que se encuentra disponible por defecto en las instalaciones de Linux y macOS. En Windows se suele instalar con Git. Para crear un certificado solamente hay que abrir una terminal y ejecutar el siguiente comando

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout cert.key -out cert.pem

Lo que generará en la carpeta de trabajo dos archivos: cert.key y cert.pem. Usando las opciones:

• -x509: forzando la generación de un certificado autofirmado en lugar de una solicitud de certificado,
• -nodes: evita que la clave privada se encripte,
• -days 365: cuando se indica la opción -x509 el certificado se genera por defecto válido por 30 días, al iniciar 365 la validez pasa a ser de un año,
• -newkey rsa:2048: indicando que la clave se debe genera usando el algoritmo RSA de 2048,
• -keyout cert.key: nombre del archivo en el que se guardará la clave privada recién,
• -out cert.pem: nombre del archivo en el que se guardará el certificado.

Configurar el certificado en Express

Una vez creado el certificado solamente hay que almacenarlo en una carpeta y configurar estos en Express. De cara a mantener organizado el proyecto se puede crear una carpeta certificates dentro del proyecto para almacenar los certificados. Ahora, en el archivo de configuración .env, se pueden crear dos nuevas claves con las rutas a ambos archivos.

CERTIFICATE_KEY = './certificates/cert.key'
CERTIFICATE_PEM = './certificates/cert.pem'

Ahora, en el método listen() de la clase Server del archivo server.ts se debe comprobar si se han indicado estas opciones para iniciar el servidor con el protocolo seguro usando estas credenciales. Básicamente se deben leer las opciones, comprobar si los archivos existen y son válidos. En caso afirmativo se deberá crear un objeto con la clave privada y el certificado. Usando este objeto para iniciar el servidor con la función https en lugar de http, función que se debe importar. De este modo el archivo server.ts puede quedar de la siguiente forma.

import { Router, Request, Response } from 'express';
import { sign } from 'jsonwebtoken';

import Logins from '../entities/logins';
import verifytoken from '../middlewares/verifytoken';
import datasource from '../datasource';
import { responseAndLogger } from '../logger';

const router = Router();

const secret = String(process.env.TOKEN_SECRET);
const expiresIn = process.env.EXPIRES ? String(process.env.EXPIRES) : '15m';

router.post('/login', (req: Request, res: Response) => {
  const username = String(req.body.username);
  const password = String(req.body.password);

  datasource
    .getRepository(Logins)
    .findOneByOrFail({ username })
    .then((user) => {
      if (user.validatePassword(password)) {
        sign({ id: user.id, username: user.username }, secret, { expiresIn }, (err, token) => {
          if (err) {
            responseAndLogger(res, 'It was not possible to generate the token', 400);
          }

          return res.send({ token });
        });
      } else {
        responseAndLogger(res, 'Invalid password', 400);
      }
    })
    .catch(() => responseAndLogger(res, 'Invalid user', 400));
});

router.get('/info', [verifytoken], (_req: Request, res: Response) => {
  res.send(res.locals.payload);
});

router.post('/register', (req: Request, res: Response) => {
  const username = String(req.body.username);
  const password = String(req.body.password);

  datasource
    .getRepository(Logins)
    .findOneByOrFail({ username })
    .then(() => {
      responseAndLogger(res, 'User already exists', 406);
    })
    .catch(() => {
      const user = new Logins();
      user.username = username;
      user.password = password;

      datasource
        .getRepository(Logins)
        .save(user)
        .then((user) => res.send(user))
        .catch((error) => responseAndLogger(res, error.message, 500));
    });
});

export default router;

Inicio del servidor

Si todo se ha configurado de forma correcta, ahora al iniciar el servidor deberá aparecer el mensaje info: Secure app listening on port 4000 en lugar de info: App listening on port 4000. Pudiéndose comprobar que el acceso ahora es seguro.

Conclusiones

En esta entrada se ha visto cómo configurar un certificado en Express para servir el API mediante HTTPS. Algo que es cada día más necesario debido al aumento de los requisitos de seguridad. En la próxima publicación, que será la última de la serie, se verá cómo usar PM2 para poner el API en producción.

El código creado en toda la serie de publicaciones se puede encontrar en la cuenta de GitHub de Analytics Lane.

Imagen de Tayeb MEZAHDIA en Pixabay