Archivo del Autor: Jose Antonio

Acerca de Jose Antonio

Yo soy el que manda aqui... ¿Que pasa?

JWT y Postman

Posted on por
Responder

O, mejor dicho, como probar tus APIs que usen JWT en postman.

Cuando estamos diseñando APIs es muy normal que, lo primero, las diseñemos sin pensar en el tema de la seguridad y, una vez que están funcionando, ya les añadimos los elementos de seguridad para que no puedan ser llamadas por cualquiera en producción.

Una forma, que yo he usado mucho, para fortificar las llamadas es hacerlo mediante un token que se ha obtenido con las credenciales de un usuario concreto, eso supone hacer una llamada previa al sistema del que se obtiene el token y, después, verificarlo en cada llamada. Esto, siendo un token arbitrario, supone sobrecargar el sistema de seguridad con llamadas de comprobación de token, además, tenemos que hacer caducar los tokens periódicamente ya que cualquier filtración del mismo da acceso a los recursos del usuario durante el tiempo que el token esté sin caducar.

Otra manera, ligeramente diferente, es utilizar JWT (JSON Web Tokens) que se diseñaron para poder transmitir credenciales y otra información entre sistemas de una manera más eficiente y segura. Lo único un poco «especial» es que tiene que haber un secreto compartido entre los sistemas que se comunican. Además, se usa ese secreto para firmar la comunicación, así que no es sencillo generar el token JWT de forma manual para las pruebas.

Si usas postman (que es lo que estoy usando yo últimamente) para hacer las pruebas, hay una manera de solventar el problema y que, básicamente, pasa por rellenar el campo pre-request script con este código:

// JWT generation script adapted from
// https://gist.github.com/corbanb/db03150abbe899285d6a86cc480f674d

var jwtSecret = pm.environment.get('jwt_secret') || ''

// Set headers for JWT
var header = {
	'typ': 'JWT',
	'alg': 'HS256'
};

// Prepare timestamp in seconds
var currentTimestamp = Math.floor(Date.now() / 1000)

var data = {
	'iss': pm.environment.get('jwt_iss') || '',
	'ist': pm.environment.get('jwt_ist') || '',
	'iat': currentTimestamp,
	'exp': currentTimestamp + 30, // expiry time is 30 seconds from time of creation
	'jti': 'jwt_nonce'
}


function base64url(source) {
    // Encode in classical base64
    encodedSource = CryptoJS.enc.Base64.stringify(source)
    
    // Remove padding equal characters
    encodedSource = encodedSource.replace(/=+$/, '')
    
    // Replace characters according to base64url specifications
    encodedSource = encodedSource.replace(/\+/g, '-')
    encodedSource = encodedSource.replace(/\//g, '_')
    
    return encodedSource
}

// encode header
var stringifiedHeader = CryptoJS.enc.Utf8.parse(JSON.stringify(header))
var encodedHeader = base64url(stringifiedHeader)

// encode data
var stringifiedData = CryptoJS.enc.Utf8.parse(JSON.stringify(data))
var encodedData = base64url(stringifiedData)

// build token
var token = `${encodedHeader}.${encodedData}`

// sign token
var signature = CryptoJS.HmacSHA256(token, jwtSecret)
signature = base64url(signature)
var signedToken = `${token}.${signature}`

pm.environment.set('jwt_signed', signedToken)
console.log('Signed and encoded JWT', signedToken)

En el mismo vemos que se usan estas variables que deberemos incluir en el entorno o en la petición:

  • jwt_secret : secreto compartido con el otro sistema
  • jwt_iss: issuer (como queramos identificar al emisor)

En cualquier caso también podríamos añadir el campo sub si es parte del payload que recibe nuestro API, o cualquier otro campo adicional que decidamos incluir, ya que el proceso de firma se realiza en ese momento y las fechas de expiración se actualizan justo antes de lanzar la petición al API por lo que no estarán expiradas en las pruebas.

Lo único que quedaría pendiente sería usar el token generado en la cabecera (o donde corresponda) ya que este código genera la variable {{jwt_signed}} esta la podemos usar donde queramos.

Sigo buscndo formas más sencillas para hacer las pruebas sin salir del Visual Studio Codel, si las encuentro las pondré por aquí.

Emosido engañado (no tanto..)

Posted on por
Responder

Pues si, a todo el mundo le toca y esta vez me ha tocado a mi. Llevo años comprando en AliExpress y, por fin, me la han colado!

Bueno, no es tanto así porque ya me lo esperaba, una oferta increíble (y tanto) de un pendrive de 2TB… Si, amigos, 2TB de capacidad en un solo pen drive y por solo 6,05 Euros… Obviamente no podía ser verdad, pero bueno, por probar qué perdemos (spoiler, perderemos pasta)

Increiblemente la tienda tiene más comentarios positivos que negativos y, bueno, uno que es un poco naïf decide hacer el intento… Y, efectivamente, en menos de 10 días tengo el paquete con mis dos flamantes pen drives, los meto en el ordenador y éste me informa de que su capacidad es de 2TB…

¿Será verdad? Bueno, nada mejor para demostrarlo que comprobar si escribe archivos… Me pongo a probar y si, aparentemente consigo grabar 300Gb… Eso si, de USB 3.0 nada, tarda como 4 horas es grabar esto… La sorpresa viene cuando intentas volver a leer esos archivos… Ni están ni se les espera, así que le paso un test destructivo a ver qué me encuentro

Vaya, vaya… Con que no tenemos más que 15Gb de verdad, son los dos teras más pequeños que me he encontrado. Bueno, toca reclamar a Aliexpress a ver si tenemos suerte (¿necesitáis spoiler?)

Después de que el vendedor se riera en mi cara solo me queda la opción de protestar ante Aliexpress… Y estoy esperando la respuesta todavía. He aprovechado y me he puesto a mirar los comentarios de otros usuarios y he visto que había como 500 y pico avisando ya de que esto era un timo (tapados por otros 2300 que dicen que no lo es). La moraleja aquí es que hay que mirar solo los comentarios negativos, que el resto (o el porcentaje) no son representativos.

En fin, que doy por perdidos mis 12 Euros a cambio de poder escribir este post…

ACTUALIZACIÓN 1:

Parece que Aliexpress se ha decidido a tomar medidas y hace que el vendedor me devuelva el dinero (aparentemente)

Polarización

Posted on por
Responder

Me vais a perdonar porque abandone los artículos técnicos por un momento y os suelte una turra sociológico-política, pero es que últimamente entro mucho en twitter y me hierve la sangre más de lo que debiese, así que me voy a explicar un poco más calmado aquí que puedo poner todos los caracteres que quiera.

Imagen generada por la IA midjourney

Me podéis llamar progre (si, me gusta el progreso), izquierdista (si, creo que todos los humanos somos iguales y hay que hacer lo necesario para que la pobreza y la desigualdad no exista) e incluso me podéis tildar de rojo (no es mi color favorito, pero no tiene connotaciones negativas. En fin, que cada uno es como es y tiene opinión de casi todo (mejor si esta es informada). Tengo muchos y buenos amigos que son de derechas, de todos sus tipos, los hay muy cristianos, los hay liberales en lo económico y conservadores en lo demás, los hay que lo son porque es lo que escuchan en la tele (que tampoco han entrado a pensar mucho en ello, pero si lo dicen por algo será) y luego están los que son españoles ante todo y saben que los extranjeros son inferiores y han venido a quitar el trabajo a sus hijos (igual si se dedicasen a estudiar este riesgo no existiría…). Muchos de estos amigos son buenísimas personas y nada malvados, no dejaría de ser su amigo por nada del mundo.

El caso es que en el micro-cosmos de twitter y, según parece, en muchos medios de comunicación hay una tendencia increíble a evaluar los mensajes según su procedencia y catalogarlos como malos o buenos según si es de mi tendencia política o de otra. Hemos reducido la crítica a buscar las cosquillas a los que no son de nuestro bando, a pensar que los unos son unos demonios y los nuestros unos angelitos, y no, eso no es así. El espíritu crítico ha de guiar nuestros pensamientos siempre, tenemos que librarnos de estereotipos, de buscar segundas intenciones. Tenemos que leer los mensajes, analizarlos y decidir si estamos de acuerdo o no en conciencia, no como miembro de una tribu, sino como ser humano con nuestra conciencia y nuestras contradicciones.

No voy a poner ejemplos aquí, solo tenéis que leer las cuentas de zascas (que también se han polarizado en una de zascas a la izquierda y otra de zascas a la derecha) para ver que la coherencia no existe en ningún sitio y que los mensajes que mandamos al contrario no nos los solemos aplicar (ver la paja en ojo ajeno). Lo que si os pido, seais rojos, morados, azules o verdes es que intentéis mirar el mensaje primero y el emisor después y un último consejo (de los que vendo y para mi no tengo)… Recuerda que no siempre tienes la razón. Escribir el último tweet no te convierte en el ganador, solo en el que se ha cansado más tarde.

Cómo usar raspberry pi pico con PlatformIO

Posted on por
Responder

Hace tiempo que trasteo con varias placas de desarrollo que intento integrar en distintos proyectos de IoT, la mayoría relacionados con nomorekeys, el caso es que generalmente he utilizado arduino (el pro micro es mi favorito) o el ESP32 cuando necesito wifi (antes el ESP8266). Hay muchos otros por ahi, como el seeeduino xiao y muchos de Nordic.

Raspberry pi pico pinout

El caso es que tengo mucho código escrito en C/C++ para el entorno Arduino y, resulta, que puedo reutilizarlo en distintos procesadores utilizando un plugin para visual studio code llamado PlatformIO, lo que he ido haciendo para los distintos arduino, ESP y Seeeduino, Hace relativamente poco tiempo me decidí a probar el nuevo MCU de Raspberry, el Raspberry Pi Pico, pero me centre en usarlo con CircuitPython, teniendo unos resultados excelentes y que os recomiendo probar.

Llegado el caso necesité más memoria para un proyecto que inicialmente estaba codificado para arduino pro micro ya que este solo posee 2,5k de memoria RAM y se quedaba muy corta. Revisando lo que tenía por casa me di cuenta que tenía un par de rpi pico por ahí de las pruebas con python y me di cuenta que tenían 264k de memoria (x100 lo que tiene un arduino), tampoco andan mal de precio y tienen todos los pines de entrada salida que necesitaba, así que, manos a la obra… Vamos a ver si podemos adaptar el código de arduino a la pico… Usando PlatformIO.

No voy a entrar ahora mismo ni en cómo instalar platformio ni en como crear un proyecto, eso os lo dejo para vosotros o si me lo pedís lo esccribo más adelante, por ahora partiremos de que eso ya lo has hecho.

Si ya tienes un proyecto hecho con platformio, enhorabuena, todos los cambios que tendrás que hacer es incluir esto en tu platformio.ini:

[env:pico]
platform = raspberrypi
board = pico
framework = arduino

Recuerda poner el #include <Arduino.h> si estás importando un sketch del ide de arduino y ya estaría…

La primera vez que quieras subir el código a la placa tendrás que copiar el archivo firmware.uf2 después de haber puesto en modo boot la placa (enchufala al ordenador pulsando el botón de la misma), yo lo hago con este comando (uso linux)

cp .pio/build/pico/firmware.uf2 /media/$USER/RPI-RP2/

Las siguientes veces ya no hará falta, puedes dar al botón upload directamente y el código compilado se subirá a la placa.

Happy coding!

Cómo dar de alta tu propia librería en el gestor de librerías de Arduino

Posted on por
Responder

De un tiempo a esta parte he estado haciendo cositas con microcontroladores y Ardunio (ultimamente con platformio), y el caso es que he querido dejar como librerías libres algunos de los códigos que he generado (o mejorado), como por ejemplo la librería para generar códigos QR en displays OLED o TFT (https://github.com/yoprogramo/QRcodeDisplay). La gestión de librerías en Arduino es una de las cosas que hacen el entorno interesante (en platformio mejor todavía) y es muy interesante tener disponible tu librería en el gestor de librerías de arduino.

Hasta hace poco el hacer que tu librería estuviese disponible para todo el mundo en el gestor de librerías de Arduino IDE era una tarea muy «manual», básicamente poner un mensaje en los foros de soporte de Arduino y esperar por la respuesta… Esto ha cambiado un poquito y podemos encontrar un nuevo método aquí:

https://github.com/arduino/library-registry#readme

Os lo resumo para los que seais impacientes. Los pasos una vez que tengáis el código de la librería en github son los siguientes:

  • Crear una release en github y darle un número
  • Crear un archivo llamado library.properties con el número de versión y los datos correspondientes de las plataformas y dependencias
  • Abrir este enlace para hacer un fork del repositorio: https://github.com/arduino/library-registry/edit/main/repositories.txt
  • Hacer fork del repositorio
  • Editar el archivo repositories.txt añadiendo la url de github del repositorio
  • Hacer click en «Proponer cambios»
  • Crear un pull request

El pull request genera una petición para que un bot revise los cambios, si todo está ok la librería aparecerá al día siguiente en el gestor de arduino, si hay algún problema se puede poner un comentario mencionando a @ArduinoBot o hacer un commit con las modificaciones en el archivo (en la rama de nuestro fork).

Nuestra librería en el gestor de librerías de Arduino