Spring Security 3 – Parte 2
O artigo ensina a utilizar o framework Spring Security 3 para o desenvolvimento de aplicações web seguras. Além disso, descreve as técnicas necessárias para permitir o acesso através de contas OpenID.
Para que serve:
O Spring Security é um framework responsável por cuidar da autenticação e autorização de usuários em aplicações web. A sua utilização permite aos desenvolvedores passar menos tempo se preocupando com a segurança, deixando-a sob responsabilidade da ferramenta.
Em que situação o tema é útil:
O desenvolvimento de aplicações seguras em um curto espaço de tempo e com qualidade garantida é essencial para as empresas de software, onde a concorrência é cada vez mais acirrada e os perigos mais frequentes. Neste contexto, os desenvolvedores precisam de ferramentas que auxiliem nos momentos que forem necessárias alterações nas políticas de segurança, como por exemplo, quando surge a necessidade de novas formas de autenticação e autorização. Para isso, as funcionalidades do Spring Security se encaixam perfeitamente.
Spring Security 3:
Para utilizar o Spring Security você deve saber diferenciar inicialmente dois conceitos básicos: autenticação, através da qual um usuário pode entrar em uma área restrita da aplicação, e autorização, onde são definidas permissões de acesso para as funcionalidades. Também é necessário conhecer as dependências que permitem o funcionamento correto do framework. Dentre elas estão as bibliotecas do Spring 3 e commons logging da Apache.
Ao criar uma aplicação é importante definir inicialmente as autorizações para cada página, e isto é feito, no Spring Security, através de um arquivo xml de configuração. Neste arquivo, também devem ser descritas informações sobre o banco de dados e as consultas necessárias para obter os usuários com permissão de acesso e suas autorizações. Outra forma do Spring Security conhecer estes usuários é através da descrição no próprio arquivo xml.
A segurança é um requisito fundamental para as aplicações web, e as ferramentas responsáveis por garanti-la precisam acompanhar a evolução e as necessidades do mercado para que o bem mais valioso das empresas (suas informações e os dados de seus clientes) continue protegido. Com isso, a Spring Source, buscando manter seu framework Spring Security atualizado e atendendo as necessidades do mercado, lançou uma nova versão.
O Spring Security surgiu da necessidade de uma biblioteca de segurança Java robusta e adaptável a diversos tipos de situações. Apesar de existirem ferramentas como o Java Authentication and Authorization Service (JAAS) e o Java EE Security, a tecnologia da Spring Source é uma opção diferenciada que provê um conjunto de funcionalidades de fácil uso, além de fornecer apoio para integração com vários outros sistemas de autenticação que podem já existir na empresa ou ser de sua necessidade. Os desenvolvedores que o utilizam ganham na produtividade, nas muitas possibilidades e na qualidade da ferramenta.
Este artigo será apresentado em duas partes para permitir que o leitor conheça na íntegra todas as novidades da ferramenta que a tornaram mais completa e organizada. Nesta primeira parte você aprenderá conceitos básicos, necessários para a construção de aplicativos seguros, em seguida, descobrirá como utilizar a nova versão para garantir a segurança das suas aplicações de forma simples e rápida e, por fim, conhecerá as técnicas para permitir o login através do OpenID, ampliando as possibilidades de acesso dos aplicativos.
Na segunda parte – que deve ser publicada na próxima edição – você irá conhecer as novidades do framework, entre elas: o uso da Spring Expression Language (SpEL) para auxiliar na definição de regras de acesso, novas maneiras de utilizar a tag <authorize> para permitir a renderização do conteúdo das páginas, melhorias para o uso do OpenID, assim como, modificações nas extensões suportadas. Ainda na segunda parte, abordaremos as alterações necessárias para migrar as aplicações que já utilizavam o Spring Security 2.x.
A Java Magazine 69 (veja nos Links) apresentou uma introdução completa ao Spring Security. Por isso, este artigo estará focado principalmente em ensiná-lo a utilizar e conhecer as vantagens da nova versão. Conceitos básicos não apresentados poderão ser encontrados na Edição 69. Entretanto, se você nunca utilizou esta ferramenta não se preocupe, pois você poderá aprender na prática com este artigo.
Autenticação x Autorização
Existe uma distinção básica entre dois conceitos fundamentais, se tratando de segurança, que precisam ficar claros para o leitor, são eles: autenticação e autorização. Vejamos a seguir esta distinção.
Autenticação
A autenticação é um processo de verificação para garantir que um usuário poderá ter acesso à aplicação. O conteúdo de uma aplicação pode ter partes não autenticadas, que são acessadas por qualquer usuário sem a necessidade de identificação e partes autenticadas, que necessitam de uma identificação.
As áreas que não precisam de autenticação são caracterizadas por:
• Não exigirem o login do usuário no sistema;
• Não exibirem informações sigilosas e específicas de um usuário, tais como nomes, endereços, cartões de crédito e assim por diante;
• Não fornecerem funcionalidades para alterar o estado global do sistema ou manipular os dados de usuários.
...Confira outros conteúdos:
Perguntas frequentes
Nossos casos de sucesso
Eu sabia pouquíssimas coisas de programação antes de começar a estudar com vocês, fui me especializando em várias áreas e ferramentas que tinham na plataforma, e com essa bagagem consegui um estágio logo no início do meu primeiro período na faculdade.
Estudo aqui na Dev desde o meio do ano passado!
Nesse período a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha
empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta é continuar estudando e praticando para ser um
Full-Stack Dev!
Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma é bem intuitiva e muuuuito didática a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!
Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda não tinha visto. A didática é do jeito que qualquer pessoa consegue aprender. Sério, to apaixonado, adorando demais.
Adquiri o curso de vocês e logo percebi que são os melhores do Brasil. É um passo a passo incrível. Só não aprende quem não quer. Foi o melhor investimento da minha vida!
Foi um dos melhores investimentos que já fiz na vida e tenho aprendido bastante com a plataforma. Vocês estão fazendo parte da minha jornada nesse mundo da programação, irei assinar meu contrato como programador graças a plataforma.
Wanderson Oliveira
Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exercícios práticos que não tem como não aprender, estão de parabéns!
Obrigado DevMedia, nunca presenciei uma plataforma de ensino tão presente na vida acadêmica de seus alunos, parabéns!
Eduardo Dorneles
Aprendi React na plataforma da DevMedia há cerca de 1 ano e meio... Hoje estou há 1 ano empregado trabalhando 100% com React!
Adauto Junior
Já fiz alguns cursos na área e nenhum é tão bom quanto o de vocês. Estou aprendendo muito, muito obrigado por existirem. Estão de parabéns... Espero um dia conseguir um emprego na área.
Utilizamos cookies para fornecer uma melhor experiência para nossos usuários, consulte nossa política de privacidade.