ChatbotApi/Constrollers/AuthController.cs

using Microsoft.AspNetCore.Identity;
using Microsoft.AspNetCore.Mvc;
using Microsoft.IdentityModel.Tokens;
using System.ComponentModel.DataAnnotations;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.AspNetCore.RateLimiting;

public class LoginRequest
{
  [Required]
  [MaxLength(100)]
  public required string Username { get; set; }

  [Required]
  [MaxLength(100)]
  public required string Password { get; set; }
}
// [SEGURIDAD] LoginResponse ya no es necesario si usamos solo cookies, pero podriamos dejar un mensaje de exito.
public class LoginResponse { public string Message { get; set; } = "Login exitoso"; }

[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
  private readonly IConfiguration _configuration;
  private readonly UserManager<IdentityUser> _userManager;

  public AuthController(IConfiguration configuration, UserManager<IdentityUser> userManager)
  {
    _configuration = configuration;
    _userManager = userManager;
  }

  [HttpPost("login")]
  [EnableRateLimiting("login-limit")]
  public async Task<IActionResult> Login([FromBody] LoginRequest loginRequest)
  {
    var user = await _userManager.FindByNameAsync(loginRequest.Username);

    if (user != null && await _userManager.CheckPasswordAsync(user, loginRequest.Password))
    {
      var token = GenerateJwtToken(user);

      // [SEGURIDAD] Setear Cookie HttpOnly
      var cookieOptions = new CookieOptions
      {
          HttpOnly = true,
          Secure = true, // Requiere HTTPS
          SameSite = SameSiteMode.Strict,
          Expires = DateTime.UtcNow.AddHours(8)
      };
      
      Response.Cookies.Append("X-Access-Token", token, cookieOptions);

      return Ok(new LoginResponse());
    }

    return Unauthorized("Credenciales inválidas.");
  }

  [HttpPost("logout")]
  public IActionResult Logout()
  {
      Response.Cookies.Delete("X-Access-Token");
      return Ok(new { message = "Sesión cerrada" });
  }

#if DEBUG
  // [SEGURIDAD] Endpoint solo para desarrollo
  [HttpPost("setup-admin")]
  public async Task<IActionResult> SetupAdminUser()
  {
    var adminUser = await _userManager.FindByNameAsync("admin");
    if (adminUser == null)
    {
      adminUser = new IdentityUser
      {
        UserName = "admin",
        Email = "tecnica@eldia.com",
      };
      // En producción usar Secrets, no hardcoded
      var result = await _userManager.CreateAsync(adminUser, "Diagonal423");

      if (result.Succeeded)
      {
        return Ok("Usuario administrador creado exitosamente.");
      }
      return BadRequest(result.Errors);
    }
    return Ok("El usuario administrador ya existe.");
  }
#endif

  private string GenerateJwtToken(IdentityUser user)
  {
    var jwtKey = _configuration["Jwt:Key"] ?? throw new InvalidOperationException("La clave JWT no está configurada.");
    var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtKey));
    var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);

    var claims = new[]
    {
            new Claim(JwtRegisteredClaimNames.Sub, user.UserName!),
            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString())
    };

    var token = new JwtSecurityToken(
        issuer: _configuration["Jwt:Issuer"],
        audience: _configuration["Jwt:Audience"],
        claims: claims,
        expires: DateTime.UtcNow.AddHours(8),
        signingCredentials: credentials);

    return new JwtSecurityTokenHandler().WriteToken(token);
  }
}
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00			`using Microsoft.AspNetCore.Identity;`
			`using Microsoft.AspNetCore.Mvc;`
			`using Microsoft.IdentityModel.Tokens;`
			`using System.ComponentModel.DataAnnotations;`
			`using System.IdentityModel.Tokens.Jwt;`
			`using System.Security.Claims;`
			`using System.Text;`
feat: Añadidos de seguridad (Backend, Frontend e IA) Implementación de medidas de seguridad críticas tras auditoría: Backend (API & IA): - Anti-Prompt Injection: Reestructuración de prompts con delimitadores XML y sanitización estricta de inputs (Tag Injection). - Anti-SSRF: Implementación de servicio `UrlSecurity` para validar URLs y bloquear accesos a IPs internas/privadas en funciones de scraping. - Moderación: Activación de `SafetySettings` en Gemini API. - Infraestructura: - Configuración de Headers de seguridad (HSTS, CSP, NoSniff). - CORS restrictivo (solo métodos HTTP necesarios). - Rate Limiting global y política estricta para Login (5 req/min). - Timeouts en HttpClient para prevenir DoS. - Auth: Endpoint `setup-admin` restringido exclusivamente a entorno Debug. Frontend (React): - Anti-XSS & Tabnabbing: Configuración de esquema estricto en `rehype-sanitize` y forzado de `rel="noopener noreferrer"` en enlaces. - Validación de longitud de input en cliente. IA: - Se realiza afinación de contexto de preguntas. 2025-11-27 15:11:54 -03:00			`using Microsoft.AspNetCore.RateLimiting;`
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00
			`public class LoginRequest`
			`{`
			`[Required]`
			`[MaxLength(100)]`
			`public required string Username { get; set; }`

			`[Required]`
			`[MaxLength(100)]`
			`public required string Password { get; set; }`
			`}`
HttpOnly Cookies y Filtros Avanzados 1. Seguridad: Cookies HttpOnly Backend (ChatbotApi): AuthController.cs : Ahora setea una cookie HttpOnly, Secure y SameSite=Strict llamada X-Access-Token en lugar de devolver el token en el cuerpo de la respuesta. AuthController.cs : Añadido endpoint logout para invalidar la cookie. Program.cs : Configurado JwtBearer para leer el token desde la cookie si está presente. Frontend (chatbot-admin): apiClient.ts : Configurado con withCredentials: true para enviar cookies automáticamente. Eliminado el interceptor de localStorage. Login.tsx : Eliminado manejo de token manual. Ahora solo comprueba éxito (200 OK). App.tsx : Refactorizado para comprobar autenticación mediante una petición a /api/admin/contexto al inicio, en lugar de leer localStorage. 2. Filtros y Búsqueda Logs ( AdminController.cs & LogsViewer.tsx ): Implementado filtrado en servidor por Fecha Inicio, Fecha Fin y Búsqueda de texto. Frontend actualizado con selectores de fecha y barra de búsqueda. Contexto y Fuentes ( ContextManager.tsx & SourceManager.tsx ): Añadida barra de búsqueda en el cliente para filtrar rápidamente por nombre, valor o descripción. 2025-12-05 14:03:27 -03:00			`// [SEGURIDAD] LoginResponse ya no es necesario si usamos solo cookies, pero podriamos dejar un mensaje de exito.`
			`public class LoginResponse { public string Message { get; set; } = "Login exitoso"; }`
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00
			`[ApiController]`
			`[Route("api/[controller]")]`
			`public class AuthController : ControllerBase`
			`{`
			`private readonly IConfiguration _configuration;`
			`private readonly UserManager<IdentityUser> _userManager;`

			`public AuthController(IConfiguration configuration, UserManager<IdentityUser> userManager)`
			`{`
			`_configuration = configuration;`
			`_userManager = userManager;`
			`}`

			`[HttpPost("login")]`
feat: Añadidos de seguridad (Backend, Frontend e IA) Implementación de medidas de seguridad críticas tras auditoría: Backend (API & IA): - Anti-Prompt Injection: Reestructuración de prompts con delimitadores XML y sanitización estricta de inputs (Tag Injection). - Anti-SSRF: Implementación de servicio `UrlSecurity` para validar URLs y bloquear accesos a IPs internas/privadas en funciones de scraping. - Moderación: Activación de `SafetySettings` en Gemini API. - Infraestructura: - Configuración de Headers de seguridad (HSTS, CSP, NoSniff). - CORS restrictivo (solo métodos HTTP necesarios). - Rate Limiting global y política estricta para Login (5 req/min). - Timeouts en HttpClient para prevenir DoS. - Auth: Endpoint `setup-admin` restringido exclusivamente a entorno Debug. Frontend (React): - Anti-XSS & Tabnabbing: Configuración de esquema estricto en `rehype-sanitize` y forzado de `rel="noopener noreferrer"` en enlaces. - Validación de longitud de input en cliente. IA: - Se realiza afinación de contexto de preguntas. 2025-11-27 15:11:54 -03:00			`[EnableRateLimiting("login-limit")]`
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00			`public async Task<IActionResult> Login([FromBody] LoginRequest loginRequest)`
			`{`
			`var user = await _userManager.FindByNameAsync(loginRequest.Username);`

			`if (user != null && await _userManager.CheckPasswordAsync(user, loginRequest.Password))`
			`{`
			`var token = GenerateJwtToken(user);`
HttpOnly Cookies y Filtros Avanzados 1. Seguridad: Cookies HttpOnly Backend (ChatbotApi): AuthController.cs : Ahora setea una cookie HttpOnly, Secure y SameSite=Strict llamada X-Access-Token en lugar de devolver el token en el cuerpo de la respuesta. AuthController.cs : Añadido endpoint logout para invalidar la cookie. Program.cs : Configurado JwtBearer para leer el token desde la cookie si está presente. Frontend (chatbot-admin): apiClient.ts : Configurado con withCredentials: true para enviar cookies automáticamente. Eliminado el interceptor de localStorage. Login.tsx : Eliminado manejo de token manual. Ahora solo comprueba éxito (200 OK). App.tsx : Refactorizado para comprobar autenticación mediante una petición a /api/admin/contexto al inicio, en lugar de leer localStorage. 2. Filtros y Búsqueda Logs ( AdminController.cs & LogsViewer.tsx ): Implementado filtrado en servidor por Fecha Inicio, Fecha Fin y Búsqueda de texto. Frontend actualizado con selectores de fecha y barra de búsqueda. Contexto y Fuentes ( ContextManager.tsx & SourceManager.tsx ): Añadida barra de búsqueda en el cliente para filtrar rápidamente por nombre, valor o descripción. 2025-12-05 14:03:27 -03:00
			`// [SEGURIDAD] Setear Cookie HttpOnly`
			`var cookieOptions = new CookieOptions`
			`{`
			`HttpOnly = true,`
			`Secure = true, // Requiere HTTPS`
			`SameSite = SameSiteMode.Strict,`
			`Expires = DateTime.UtcNow.AddHours(8)`
			`};`

			`Response.Cookies.Append("X-Access-Token", token, cookieOptions);`

			`return Ok(new LoginResponse());`
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00			`}`

			`return Unauthorized("Credenciales inválidas.");`
			`}`

HttpOnly Cookies y Filtros Avanzados 1. Seguridad: Cookies HttpOnly Backend (ChatbotApi): AuthController.cs : Ahora setea una cookie HttpOnly, Secure y SameSite=Strict llamada X-Access-Token en lugar de devolver el token en el cuerpo de la respuesta. AuthController.cs : Añadido endpoint logout para invalidar la cookie. Program.cs : Configurado JwtBearer para leer el token desde la cookie si está presente. Frontend (chatbot-admin): apiClient.ts : Configurado con withCredentials: true para enviar cookies automáticamente. Eliminado el interceptor de localStorage. Login.tsx : Eliminado manejo de token manual. Ahora solo comprueba éxito (200 OK). App.tsx : Refactorizado para comprobar autenticación mediante una petición a /api/admin/contexto al inicio, en lugar de leer localStorage. 2. Filtros y Búsqueda Logs ( AdminController.cs & LogsViewer.tsx ): Implementado filtrado en servidor por Fecha Inicio, Fecha Fin y Búsqueda de texto. Frontend actualizado con selectores de fecha y barra de búsqueda. Contexto y Fuentes ( ContextManager.tsx & SourceManager.tsx ): Añadida barra de búsqueda en el cliente para filtrar rápidamente por nombre, valor o descripción. 2025-12-05 14:03:27 -03:00			`[HttpPost("logout")]`
			`public IActionResult Logout()`
			`{`
			`Response.Cookies.Delete("X-Access-Token");`
			`return Ok(new { message = "Sesión cerrada" });`
			`}`

feat: Añadidos de seguridad (Backend, Frontend e IA) Implementación de medidas de seguridad críticas tras auditoría: Backend (API & IA): - Anti-Prompt Injection: Reestructuración de prompts con delimitadores XML y sanitización estricta de inputs (Tag Injection). - Anti-SSRF: Implementación de servicio `UrlSecurity` para validar URLs y bloquear accesos a IPs internas/privadas en funciones de scraping. - Moderación: Activación de `SafetySettings` en Gemini API. - Infraestructura: - Configuración de Headers de seguridad (HSTS, CSP, NoSniff). - CORS restrictivo (solo métodos HTTP necesarios). - Rate Limiting global y política estricta para Login (5 req/min). - Timeouts en HttpClient para prevenir DoS. - Auth: Endpoint `setup-admin` restringido exclusivamente a entorno Debug. Frontend (React): - Anti-XSS & Tabnabbing: Configuración de esquema estricto en `rehype-sanitize` y forzado de `rel="noopener noreferrer"` en enlaces. - Validación de longitud de input en cliente. IA: - Se realiza afinación de contexto de preguntas. 2025-11-27 15:11:54 -03:00			`#if DEBUG`
			`// [SEGURIDAD] Endpoint solo para desarrollo`
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00			`[HttpPost("setup-admin")]`
			`public async Task<IActionResult> SetupAdminUser()`
			`{`
			`var adminUser = await _userManager.FindByNameAsync("admin");`
			`if (adminUser == null)`
			`{`
			`adminUser = new IdentityUser`
			`{`
			`UserName = "admin",`
			`Email = "tecnica@eldia.com",`
			`};`
feat: Añadidos de seguridad (Backend, Frontend e IA) Implementación de medidas de seguridad críticas tras auditoría: Backend (API & IA): - Anti-Prompt Injection: Reestructuración de prompts con delimitadores XML y sanitización estricta de inputs (Tag Injection). - Anti-SSRF: Implementación de servicio `UrlSecurity` para validar URLs y bloquear accesos a IPs internas/privadas en funciones de scraping. - Moderación: Activación de `SafetySettings` en Gemini API. - Infraestructura: - Configuración de Headers de seguridad (HSTS, CSP, NoSniff). - CORS restrictivo (solo métodos HTTP necesarios). - Rate Limiting global y política estricta para Login (5 req/min). - Timeouts en HttpClient para prevenir DoS. - Auth: Endpoint `setup-admin` restringido exclusivamente a entorno Debug. Frontend (React): - Anti-XSS & Tabnabbing: Configuración de esquema estricto en `rehype-sanitize` y forzado de `rel="noopener noreferrer"` en enlaces. - Validación de longitud de input en cliente. IA: - Se realiza afinación de contexto de preguntas. 2025-11-27 15:11:54 -03:00			`// En producción usar Secrets, no hardcoded`
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00			`var result = await _userManager.CreateAsync(adminUser, "Diagonal423");`

			`if (result.Succeeded)`
			`{`
			`return Ok("Usuario administrador creado exitosamente.");`
			`}`
			`return BadRequest(result.Errors);`
			`}`
			`return Ok("El usuario administrador ya existe.");`
			`}`
feat: Añadidos de seguridad (Backend, Frontend e IA) Implementación de medidas de seguridad críticas tras auditoría: Backend (API & IA): - Anti-Prompt Injection: Reestructuración de prompts con delimitadores XML y sanitización estricta de inputs (Tag Injection). - Anti-SSRF: Implementación de servicio `UrlSecurity` para validar URLs y bloquear accesos a IPs internas/privadas en funciones de scraping. - Moderación: Activación de `SafetySettings` en Gemini API. - Infraestructura: - Configuración de Headers de seguridad (HSTS, CSP, NoSniff). - CORS restrictivo (solo métodos HTTP necesarios). - Rate Limiting global y política estricta para Login (5 req/min). - Timeouts en HttpClient para prevenir DoS. - Auth: Endpoint `setup-admin` restringido exclusivamente a entorno Debug. Frontend (React): - Anti-XSS & Tabnabbing: Configuración de esquema estricto en `rehype-sanitize` y forzado de `rel="noopener noreferrer"` en enlaces. - Validación de longitud de input en cliente. IA: - Se realiza afinación de contexto de preguntas. 2025-11-27 15:11:54 -03:00			`#endif`
Proyecto ChatBot Con Gemini 2025-11-18 14:34:26 -03:00
			`private string GenerateJwtToken(IdentityUser user)`
			`{`
			`var jwtKey = _configuration["Jwt:Key"] ?? throw new InvalidOperationException("La clave JWT no está configurada.");`
			`var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtKey));`
			`var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);`

			`var claims = new[]`
			`{`
			`new Claim(JwtRegisteredClaimNames.Sub, user.UserName!),`
			`new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString())`
			`};`

			`var token = new JwtSecurityToken(`
			`issuer: _configuration["Jwt:Issuer"],`
			`audience: _configuration["Jwt:Audience"],`
			`claims: claims,`
			`expires: DateTime.UtcNow.AddHours(8),`
			`signingCredentials: credentials);`

			`return new JwtSecurityTokenHandler().WriteToken(token);`
			`}`
			`}`