Volver al curso
7 / 25
Guardar progreso

Implementación de middleware para autenticación y logging

Lectura
25 min~10 min lectura
Objetivo de la lección

En Go, un middleware no es más que una función que toma un http.Handler como argumento y devuelve un nuevo http.Handler .

Puntos de control
  • Introducción al Middleware en el Ecosistema HTTP de Go
  • Concepto Clave: La Cadena de Responsabilidad en el Pipeline HTTP
  • Cómo Funciona en la Práctica: Anatomía de un Middleware
  • Código en Acción: Middleware de Logging Estructurado y Autenticación JWT

Introducción al Middleware en el Ecosistema HTTP de Go

En el desarrollo de APIs modernas, especialmente aquellas orientadas a microservicios y alto rendimiento, la capacidad de interceptar, procesar y transformar las solicitudes y respuestas HTTP de manera consistente es fundamental. Aquí es donde entra en juego el concepto de middleware. En Go, un middleware no es más que una función que toma un http.Handler como argumento y devuelve un nuevo http.Handler. Este nuevo handler envuelve la lógica original, permitiendo ejecutar código antes y después de que el handler principal procese la solicitud. Este patrón es increíblemente poderoso y es la piedra angular para implementar funcionalidades transversales como autenticación, logging, compresión de respuestas, manejo de CORS y recuperación de pánicos, sin contaminar la lógica de negocio de tus endpoints.

El paquete gorilla/mux, nuestro enrutador de elección para este curso, no solo proporciona un enrutamiento robusto y expresivo, sino que también adopta completamente este patrón de middleware, haciéndolo natural de usar. A diferencia de frameworks más opionados, Go y gorilla/mux te dan las herramientas para construir tu propia cadena de middleware, ofreciendo un control granular sobre el flujo de la solicitud. Esta lección se centrará en la implementación práctica de dos middlewares críticos para cualquier API en producción: uno para autenticación basada en tokens JWT y otro para logging estructurado y detallado. Comprender cómo diseñar, encadenar y probar estos componentes es esencial para construir APIs seguras, observables y mantenibles.

Concepto Clave: La Cadena de Responsabilidad en el Pipeline HTTP

Imagina una línea de ensamblaje en una fábrica de automóviles. Cada estación de trabajo realiza una tarea específica y bien definida: una instala el motor, otra los asientos, otra pinta la carrocería. El chasis del coche (la solicitud HTTP) pasa secuencialmente por cada estación. Una estación no puede saltarse a la siguiente hasta que haya completado su trabajo, y tiene el poder de detener toda la línea si encuentra un defecto crítico (como una pieza faltante o un error de seguridad). En el contexto de una API, el middleware es cada una de esas estaciones de trabajo. La cadena de handlers en Go representa esta línea de ensamblaje. Un middleware de logging "estampa" la hora de entrada, un middleware de autenticación "verifica las credenciales del trabajador", un middleware de autorización "comprueba si tiene permisos para esa estación", y finalmente, el handler final "ensambla el producto final" (la respuesta JSON).

La belleza de este patrón, conocido como Cadena de Responsabilidad, radica en su desacoplamiento. La estación de pintura no necesita saber cómo se instaló el motor, solo necesita recibir el chasis. De la misma manera, tu handler que gestiona /api/orders no necesita contener una sola línea de código para validar un token JWT o para escribir en los logs. Esos concerns son manejados por middlewares específicos que se "envuelven" alrededor del handler. Esto hace que el código sea más limpio, testeable y modular. Puedes agregar, remover o reordenar "estaciones" (middlewares) según las necesidades de cada ruta o grupo de rutas, algo que gorilla/mux facilita enormemente con su método Use() y el enrutamiento por subrouters.

Cómo Funciona en la Práctica: Anatomía de un Middleware

Vamos a diseccionar la estructura básica de un middleware en Go. En su forma más pura, es una función con la firma func(http.Handler) http.Handler. Dentro de esta función, construimos y devolvemos un nuevo http.Handler (a menudo como una función anónima que satisface la interfaz). Dentro de este nuevo handler, tenemos la oportunidad de ejecutar lógica antes de llamar a h.ServeHTTP(w, r) (que invoca el siguiente handler en la cadena, que podría ser otro middleware o el handler final), y también de ejecutar lógica después de esa llamada. Este control del flujo es lo que permite un logging completo (tiempo de inicio y fin) o la modificación de la respuesta.

Considera el flujo para un middleware de autenticación. Primero, el middleware intercepta la solicitud. Inspecciona el encabezado Authorization en busca de un token JWT. Si el token no está presente, el middleware escribe directamente en el ResponseWriter un error 401 (Unauthorized) y retorna sin llamar a h.ServeHTTP. La cadena se detiene aquí; el handler principal nunca se ejecuta. Si el token está presente y es válido, el middleware puede extraer la información del usuario (claims), añadirla al contexto de la solicitud (r.Context()), y luego llamar a h.ServeHTTP(w, r) con la nueva request enriquecida. Los handlers posteriores en la cadena pueden entonces recuperar esta información del contexto, usándola para autorización o personalización de la respuesta, todo sin haber manejado directamente la autenticación.


// Estructura esquelética de un middleware
func miMiddleware(h http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        // Lógica PREVIA a la ejecución del handler principal.
        // Ej: Validar token, iniciar timer, agregar headers CORS.
        start := time.Now()

        // Podemos decidir NO llamar al siguiente handler.
        if !estaAutorizado(r) {
            http.Error(w, "No autorizado", http.StatusUnauthorized)
            return // ¡La cadena se rompe aquí!
        }

        // Llamada al siguiente handler en la cadena (siguiente middleware o handler final).
        h.ServeHTTP(w, r)

        // Lógica POSTERIOR a la ejecución del handler principal.
        // Ej: Logging del tiempo de respuesta, procesamiento de errores.
        duration := time.Since(start)
        log.Printf("La petición a %s tomó %v", r.URL.Path, duration)
    })
}

Código en Acción: Middleware de Logging Estructurado y Autenticación JWT

A continuación, presentamos una implementación completa y lista para usar. El middleware de logging utiliza el paquete log/slog de la biblioteca estándar (introducido en Go 1.21) para generar logs estructurados en formato JSON, capturando detalles esenciales como método, ruta, código de estado, duración y dirección IP del cliente. El middleware de autenticación JWT parsea un token Bearer, lo valida usando la librería github.com/golang-jwt/jwt/v5, y almacena los claims en el contexto de la solicitud para su uso posterior. Observa cómo se aplican a un subrouter, una práctica común para agrupar rutas que comparten requisitos de seguridad.


package main

import (
    "context"
    "log/slog"
    "net/http"
    "os"
    "time"

    "github.com/golang-jwt/jwt/v5"
    "github.com/gorilla/mux"
)

// --- Middleware de Logging Estructurado ---
func loggingMiddleware(logger *slog.Logger) func(http.Handler) http.Handler {
    return func(next http.Handler) http.Handler {
        return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
            // Capturar información de la solicitud
            startTime := time.Now()
            ip := r.RemoteAddr
            method := r.Method
            path := r.URL.Path

            // Envolver el ResponseWriter para capturar el código de estado
            rw := &responseWriter{ResponseWriter: w, statusCode: http.StatusOK}
            
            // Procesar la solicitud
            next.ServeHTTP(rw, r)
            
            // Calcular duración y registrar
            duration := time.Since(startTime)
            logger.Info("solicitud HTTP",
                "ip", ip,
                "method", method,
                "path", path,
                "status", rw.statusCode,
                "duration_ms", duration.Milliseconds(),
                "user_agent", r.UserAgent(),
            )
        })
    }
}

// responseWriter personalizado para capturar el código de estado.
type responseWriter struct {
    http.ResponseWriter
    statusCode int
}

func (rw *responseWriter) WriteHeader(code int) {
    rw.statusCode = code
    rw.ResponseWriter.WriteHeader(code)
}

// --- Middleware de Autenticación JWT ---
// Clave secreta (¡DEBE estar en variables de entorno en producción!)
var jwtSecret = []byte("mi-super-secreto-seguro")

func authMiddleware(next http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        // Extraer el token del header Authorization
        authHeader := r.Header.Get("Authorization")
        if authHeader == "" || len(authHeader) < 8 || authHeader[:7] != "Bearer " {
            http.Error(w, `{"error": "Se requiere token de autorización"}`, http.StatusUnauthorized)
            return
        }
        tokenString := authHeader[7:]

        // Parsear y validar el token
        token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
            // Validar el algoritmo de firma
            if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
                return nil, jwt.ErrSignatureInvalid
            }
            return jwtSecret, nil
        })

        if err != nil || !token.Valid {
            http.Error(w, `{"error": "Token inválido o expirado"}`, http.StatusUnauthorized)
            return
        }

        // Extraer claims y almacenar en el contexto
        if claims, ok := token.Claims.(jwt.MapClaims); ok {
            // Se recomienda crear un tipo de contexto específico para evitar colisiones de clave.
            ctx := context.WithValue(r.Context(), "userClaims", claims)
            r = r.WithContext(ctx)
        } else {
            http.Error(w, `{"error": "No se pudieron extraer claims del token"}`, http.StatusUnauthorized)
            return
        }

        // Token válido, proceder al siguiente handler.
        next.ServeHTTP(w, r)
    })
}

// --- Handlers de Ejemplo ---
func publicHandler(w http.ResponseWriter, r *http.Request) {
    w.Header().Set("Content-Type", "application/json")
    w.Write([]byte(`{"message": "¡Este es un endpoint público!"}`))
}

func privateHandler(w http.ResponseWriter, r *http.Request) {
    // Recuperar claims del contexto
    claims, ok := r.Context().Value("userClaims").(jwt.MapClaims)
    if !ok {
        http.Error(w, `{"error": "Contexto de usuario no disponible"}`, http.StatusInternalServerError)
        return
    }
    username := claims["sub"].(string)
    w.Header().Set("Content-Type", "application/json")
    w.Write([]byte(`{"message": "¡Bienvenido al área privada, ` + username + `!"}`))
}

// --- Configuración Principal de la Aplicación ---
func main() {
    // Configurar logger estructurado
    logger := slog.New(slog.NewJSONHandler(os.Stdout, nil))
    slog.SetDefault(logger)

    router := mux.NewRouter()

    // Ruta pública (solo logging)
    router.HandleFunc("/public", publicHandler).Methods("GET")

    // Crear un subrouter para rutas privadas
    privateRouter := router.PathPrefix("/api").Subrouter()
    privateRouter.Use(authMiddleware) // Aplicar autenticación a TODAS las rutas bajo /api
    privateRouter.HandleFunc("/private", privateHandler).Methods("GET")

    // Aplicar middleware de logging a TODAS las rutas del router principal.
    router.Use(loggingMiddleware(logger))

    slog.Info("Servidor iniciado en el puerto 8080")
    http.ListenAndServe(":8080", router)
}

Para probar esta API, primero necesitarías generar un token JWT válido (usando una herramienta o un endpoint de login no mostrado aquí). Luego, una solicitud a GET /public generará un log pero no requerirá token. Una solicitud a GET /api/private sin el header Authorization: Bearer <token> fallará con un 401. Con un token válido, accederá al handler y responderá con un mensaje personalizado. Observa cómo el logging se aplica a todas las rutas, mientras que la autenticación solo se aplica a las rutas bajo el subrouter /api. Esta es la esencia de una gestión de middleware flexible y poderosa.

Errores Comunes y Cómo Evitarlos

Al implementar middleware, especialmente para seguridad y logging, pequeños descuidos pueden llevar a grandes vulnerabilidades o fallos difíciles de depurar. Estos son algunos de los errores más frecuentes:

1. No escribir los headers HTTP antes de escribir el cuerpo de la respuesta en el middleware: En Go, una vez que se escribe en el cuerpo de la respuesta (w.Write()), los headers se envían automáticamente al cliente y no pueden modificarse. Si tu middleware intenta agregar un header (como uno de CORS) o cambiar el código de estado después de que el handler principal haya escrito datos, será ignorado. Solución: Siempre configura los headers comunes (CORS, Content-Type para errores) al inicio del middleware, antes de llamar a next.ServeHTTP. Considera usar un ResponseWriter personalizado (como en nuestro ejemplo de logging) para capturar el código de estado.

2. Olvidar llamar a `next.ServeHTTP(w, r)` cuando la solicitud es válida: Este es un error de novato pero crítico. Si tu middleware de autenticación valida el token y luego no invoca al siguiente handler, la solicitud simplemente se "traga" y el cliente se queda esperando una respuesta que nunca llega, eventualmente obteniendo un timeout. Solución: Asegúrate de que todas las rutas de ejecución lógicas en tu middleware, excepto aquellas que deliberadamente quieren abortar la petición (como un error 401), terminen con una llamada a next.ServeHTTP(w, r).

3. Manejo inseguro de claves JWT y almacenamiento en el código: Hardcodear el secreto JWT en el código fuente, como en nuestro ejemplo didáctico, es una pésima práctica en producción. Expone tus credenciales en el repositorio y hace la rotación de claves casi imposible. Solución: Siempre carga secretos, claves privadas y contraseñas desde variables de entorno o un servicio de gestión de secretos (como Vault, AWS Secrets Manager). Usa paquetes como github.com/joho/godotenv para desarrollo local.

4. No validar el algoritmo de firma en el parseo del JWT: La librería jwt-go (y otras) son vulnerables a ataques de "ningún algoritmo" si no validas explícitamente el método de firma esperado. Un atacante podría crear un token firmado con 'none' y sería aceptado si tu código no lo verifica. Solución: Siempre proporciona una función de validación de clave (Keyfunc) que verifique el algoritmo, como se muestra en nuestro ejemplo con token.Method.(*jwt.SigningMethodHMAC).

5. Abusar del contexto o usar tipos de clave inadecuados: El contexto de una solicitud es ideal para pasar valores de middleware a handlers, pero usar cadenas genéricas como clave ("user", "claims") puede causar colisiones si diferentes paquetes o middlewares usan la misma clave. Solución: Define un tipo personalizado no exportado para tus claves de contexto. Por ejemplo: type contextKey string y luego const userClaimsKey contextKey = "userClaims". Usa userClaimsKey para almacenar y recuperar valores. Esto garantiza la unicidad.

Checklist de Dominio

Para asegurar que has comprendido y puedes aplicar los conceptos de esta lección, verifica que eres capaz de:

  • Explicar con tus propias palabras el patrón de diseño "Middleware" o "Cadena de Responsabilidad" y su analogía con una línea de ensamblaje.
  • Escribir desde cero una función middleware básica en Go que cumpla con la firma func(http.Handler) http.Handler.
  • Diferenciar claramente en qué momento se ejecuta el código que va antes y el que va después de la llamada a h.ServeHTTP dentro de un middleware.
  • Implementar un middleware de logging que capture y registre el método HTTP, la ruta, la dirección IP, el código de estado de respuesta y el tiempo de ejecución, usando un logger estructurado como slog.
  • Implementar un middleware de autenticación JWT que valide un token Bearer, extraiga sus claims y los coloque en el contexto de la solicitud para su uso posterior en los handlers.
  • Configurar un router de gorilla/mux para aplicar middlewares de forma global (a todas las rutas), a un subrouter específico (a un grupo de rutas) y a una ruta individual, entendiendo el orden de ejecución.
  • Identificar y corregir al menos tres de los "errores comunes" listados en la sección anterior en un bloque de código dado.
  • Describir cómo se recupera un valor (por ejemplo, los claims de un usuario) almacenado en el contexto de una solicitud HTTP dentro de un handler final.

Tip de Rendimiento: La creación de un ResponseWriter personalizado para capturar el código de estado, como se hizo en el middleware de logging, tiene un costo mínimo. Sin embargo, en APIs de extremadamente alto rendimiento donde cada nanosegundo cuenta, considera usar técnicas como el pooling de objetos para reutilizar estas estructuras y reducir la presión sobre el recolector de basura (GC). Herramientas como github.com/valyala/bytebufferpool ofrecen ideas para patrones similares.

Falar no WhatsApp
Laboratorio de práctica

Antes de marcar esta lección como completa, escribí una evidencia breve para Go para APIs de Alto Rendimiento: Construcción de Microservicios REST con Gorilla/Mux: un ejemplo, una decisión, una captura, una mini demo o una nota que puedas reutilizar en portfolio.

Reflexión rápida

¿Qué cambiarías en tu forma de trabajar después de aplicar implementación de middleware para autenticación y logging?

De lección a portfolio

Convertí esta lección en una prueba técnica visible.

Una app pequeña publicada, con README y decisiones explicadas, funciona mejor que una lista de tecnologías sueltas.

Paso 1

Creá una demo mínima que use el concepto de la lección.

Paso 2

Escribí un README corto con objetivo, stack, decisión técnica y mejora futura.

Paso 3

Publicá la demo y enlazala desde tu perfil profesional.

Ver primer empleo techArmar evidenciaVer expertos

Newsletter Cursalo

Recibí rutas y cursos nuevos

Sumate para recibir recursos orientados a empleo y portfolio.

  • Rutas de empleo
  • Cursos prácticos
  • Portfolio y entrevistas

Sin spam. También podés entrar con tu cuenta para guardar progreso. Iniciá sesión

Lección anterior

Uso de parámetros y consultas en rutas con gorilla/mux

Siguiente lección

Manejo de errores y respuestas HTTP personalizadas

Ver más cursos
Implementación de middleware para autenticación... | Cursalo