[FEAT] Uso de Auth - token #2
Description
Tu propuesta es relacionada a un problema? describe
Actualmente el funcionamiento de la API se hace sin autenticación de ningún tipo. El primer paso debería ser implementar una autenticación simple y uniforme. Es probable que prontamente se necesite complejizar de alguna u otra forma el proceso de autenticación para soportar distintos niveles de permisos, pero creo que en lo pronto no es necesario!
Describe la solución que te gustaría
La solución debería probablemente involucrar la creación de un API-TOKEN manualmente para cada usuario a utilizar la API, y no un método de autorización extraordinario como usuario y contraseña hacia un JWT.
Los detalles que considero actualmente son:
- Los tokens deben, si o si, ser encriptados.
- Los tokens deben estar acompañados por un nivel de autorización arbitrario. Probablemente se respete la misma mecánica de encargado y miembro de club, al menos en un principio. A nivel de implementación, esto puede tratarse con un Enum y ya, en caso de necesitarse nuevos roles, se pueden agregar al enum y jugar a recompilar.
- El middleware debería simplemente rechazar el request si no existe la autorización, en vez de mostrar 404 o algo similar. Da igual ocultar información en principio.
Describe alternativas que hayas considerado
Pensé en un inicio el proceso de JWT, pero creo que habilitar endpoints para crear cuentas, recuperar contraseñas y quien sabe que otra cosa, lo hace muy difícil de manejar.