Casi todas las personas tienen una cuenta de Google, por eso tantos sitios ofrecen Iniciar sesión con Google. Es rápido y permite autenticarte en pocos clics.
En esta guía aprenderás a integrar autenticación de Google en una app Express usando Passport.js, de forma clara y lista para producción con JWT, cookies seguras y buenas prácticas.
Por qué Passport.js
Existen alternativas como Auth0, Firebase o Clerk, pero Passport.js destaca por ser:
• Simple y ligero
• Compatible con múltiples estrategias Google, GitHub, Facebook y más
• Flexible, te da control manual cuando lo necesitas
Con estos motivos, es una opción sólida para añadir social login en Express.
Parte 1: obtener el Client ID y Client Secret de Google
1. Entra a Google Cloud Console, crea un proyecto nuevo.
2. Abre Pantalla de consentimiento OAuth y configúrala con el nombre de la app, scopes básicos y tu dominio si aplica.
3. Ve a Credenciales y crea un OAuth Client ID para Web Application. Añade una URL de redirección como https://localhost:5000/auth/google/callback
4. Copia y guarda el Client ID y el Client Secret para usarlos como variables de entorno.
Parte 2: integración Express + Passport.js
1. Instala dependencias
En tu terminal ejecuta: npm install passport passport-google-oauth20
2. Configura la estrategia de Google en el archivo passport-config.js
• Importa passport y Strategy de passport-google-oauth20
• Inicializa una nueva GoogleStrategy con clientID, clientSecret y callbackURL tomados de process.env.GOOGLE_CLIENT_ID, process.env.GOOGLE_CLIENT_SECRET y process.env.GOOGLE_CALLBACK_URL
• En el callback de verificación, retorna done con el perfil del usuario. Ejemplo: done(null, profile)
3. Inicializa Passport en tu app Express
• En tu app, usa app.use(passport.initialize())
4. Define las rutas de autenticación
• GET /auth/google llama a passport.authenticate con estrategia google, scope profile y email y session en false
• GET /auth/google/callback usa passport.authenticate con failureRedirect a una ruta de login, session en false y, si todo va bien, delega al controlador googleAuth
Nota: usamos session en false porque gestionaremos la sesión con tokens JWT en lugar de sesiones en memoria de Passport.
5. Crea el controlador googleAuth
• Extrae de req.user el id y los datos del perfil nombre, foto, email
• Busca un usuario por googleId; si no existe, créalo con name, email, avatar y googleId
• Genera accessToken y refreshToken con tu función generateToken
• Devuelve respuesta 200 y guarda ambos tokens en cookies seguras y httponly usando una configuración de cookiesOptions adecuada
Buenas prácticas de seguridad y producción
• Cookies seguras: usa httpOnly true, secure true en producción, sameSite lax o strict según tu caso, y establece dominio y path apropiados
• Variables de entorno: nunca subas client secret al repositorio, usa un gestor de secretos o variables de entorno
• HTTPS obligatorio en producción para que secure funcione y para proteger el intercambio OAuth
• Lógica de refresh: crea un endpoint para refrescar el accessToken con el refreshToken y considera rotación y revocación
• Protección de rutas: añade un middleware que verifique el JWT en cada endpoint privado y renueva tokens cuando sea necesario
• Alcances mínimos: solicita solo scopes necesarios, típicamente profile y email
Resumen de implementación
• Configuración de OAuth en Google Cloud Console
• Estrategia de Passport configurada con GoogleStrategy
• Rutas Express y controlador para gestionar el flujo OAuth
• Emisión de tokens JWT y almacenamiento en cookies seguras
En Q2BSTUDIO te ayudamos a implementar autenticación segura, escalable y alineada con las mejores prácticas de ciberseguridad dentro de soluciones de aplicaciones a medida y software a medida, integrando tu backend con servicios cloud, orquestación de identidades y automatización de procesos end to end.
Somos una empresa de desarrollo de software, especialistas en inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi. Si además de autenticación necesitas evaluación de riesgos, hardening de API, pruebas de penetración o cumplimiento normativo, consulta nuestros servicios de ciberseguridad y pentesting.
Próximos pasos recomendados
• Añade un middleware de verificación de JWT y roles
• Implementa refresh token con rotación y lista de revocación
• Crea logout que invalide refresh tokens por usuario y dispositivo
• Añade rate limiting, helmet y validación de entrada en todas las rutas
• Si usarás dominios y subdominios, configura correctamente sameSite y el dominio de la cookie
Con estos pasos tendrás un login con Google robusto en Express usando Passport.js, listo para integrarse en arquitecturas modernas, microservicios y despliegues en la nube mientras proteges a tus usuarios y a tu negocio.