Tutoriales IA Código fuente / Templates .NET

3. Backend .NET 8: Auth Firebase y esqueleto API

David Cantón Nadales febrero 20, 2026No hay comentarios

Me gusta

This entry is parte 4 de 16 in the series Curso Flutter y .NET 8 con Novita AI: índice completo paso a paso

Curso Flutter y .NET 8 con Novita AI: índice completo paso a paso

Actualizado: 20 de febrero de 2026.

Aquí montas el backend principal y entiendes cómo validar el token Firebase en cada request.

Prerrequisitos

Tener clonado o disponible codigo/ de esta serie.
Contar con Firebase y Novita configurados para pruebas.
Haber completado el capítulo anterior del curso.

Paso 1: Estructura base

El proyecto principal está en:

codigo/backend/InvitaIA.Api/

Piezas clave:

Program.cs: DI, Auth, CORS, Swagger, Hangfire.
Auth/FirebaseAuthenticationHandler.cs: valida ID token.
Controllers/*: endpoints REST.
Services/*: dominio e integración externa.

Paso 2: Revisar pipeline de autenticación

builder.Services
    .AddAuthentication("Firebase")
    .AddScheme<AuthenticationSchemeOptions, FirebaseAuthenticationHandler>("Firebase", _ => { });

builder.Services.AddAuthorization();

Con esto, los controladores con [Authorize] exigen token válido.

Paso 3: Extraer UID en controladores

En InvitationsController se usa:

private string Uid => User.FindFirstValue("user_id") ?? string.Empty;

Ese user_id lo establece el FirebaseAuthenticationHandler tras validar token.

Paso 4: Diagrama de auth

sequenceDiagram
    participant App as Flutter App
    participant FA as Firebase Auth
    participant API as .NET API

    App->>FA: Login Google
    FA-->>App: idToken
    App->>API: Authorization: Bearer idToken
    API->>FA: VerifyIdTokenAsync
    FA-->>API: uid + claims
    API-->>App: 200/401

Paso 5: Verificar endpoints protegidos

cd codigo/backend
rg -n "\[Authorize\]" InvitaIA.Api/Controllers -S

Endpoints públicos relevantes:

POST /api/webhooks/novita (AllowAnonymous)
GET /api/invitations/{id}/share (AllowAnonymous)

Troubleshooting

401 Unauthorized: token inválido o expirado.
FirebaseAuth.DefaultInstance falla: JSON Admin mal configurado.
user_id vacío: el handler no se ejecutó o token no llegó.

FAQ corta

¿Por qué no validar JWT manualmente?

Porque Firebase Admin SDK ya implementa validación completa de firma y claims.

¿Puedo usar email/password en lugar de Google?

Sí, si Firebase emite ID token válido, el backend no cambia.

¿Qué claim define admin?

is_admin, obtenido desde Firestore en el handler.

Fuente verificada

Código del curso:
- codigo/backend/InvitaIA.Api/Program.cs
- codigo/backend/InvitaIA.Api/Auth/FirebaseAuthenticationHandler.cs
- codigo/backend/InvitaIA.Api/Controllers/InvitationsController.cs
Documentación oficial:
- Firebase Admin verify ID tokens

Share this content:

Última actualización el febrero 20, 2026

David Cantón Nadales

David Cantón Nadales, ingeniero de software de Sevilla, España, es autor del bestseller Build Your own Metaverse with Unity. Reconocido como Microsoft MVP y Top Voices en Aplicaciones Móviles de LinkedIn. Con más de 20 años de experiencia, David ha liderado cientos proyectos a lo largo de su carrera, incluyendo videojuegos y aplicaciones de realidad virtual y aumentada con Oculus, Hololens, HTC Vive, DayDream y LeapMotion. Ha trabajado como Tech Lead en importantes multinacionales como Grupo Viajes El Corte Inglés y actualmente en SCRM Lidl del Grupo Schwarz. Fue embajador de la comunidad Samsung Dev Spain y organizador del Google Developers Group Sevilla. Durante el confinamiento por COVID-19, destacó como emprendedor social con la creación de Grita, una red social que facilitaba el apoyo psicológico entre personas. En 2022, ganó los Samsung Top Developers Awards.

Ver todas las entradas

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta Cancelar la respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.