Web services RESTful: Como adicionar segurança com JWT

Por que eu devo ler este artigo:Este artigo apresenta um novo padr�o, denominado JSON Web Token (JWT), para a cria��o de tokens capazes de transportar informa��es de uma forma compacta e confi�vel. Al�m disso, aborda tamb�m uma maneira de utilizar esses tokens como uma alternativa stateless, de forma semelhante a utilizada por gigantes como Google e Microsoft, aos processos existentes de autentica��o para APIs RESTful. No artigo, ser� analisada a implementa��o de uma API RESTful com seguran�a via JWT, baseada no framework Spring Security, para exemplificar todos os conceitos.

Seguran�a � um requisito fundamental em grande parte dos sistemas atuais, pois � necess�rio garantir que cada usu�rio possua acesso somente �s funcionalidades que se adequem �s suas compet�ncias, visando manter a integridade do sistema e das informa��es armazenadas.

Para aplica��es web, a utiliza��o da forma tradicional de seguran�a, que mant�m, ap�s uma autentica��o, todas as autoriza��es de um usu�rio em sua sess�o, geralmente � adequada. Servi�os RESTful, por outro lado, s�o, por defini��o, stateless. Isso elimina essa forma como op��o e nos obriga a buscar alternativas. Atualmente, duas das alternativas mais conhecidas s�o:

JWT: Web services seguros em Java

HTTP Basic Authentication(BA) � Nesse tipo de autentica��o, as credencias de acesso (username/password) s�o enviadas, no header Authorization, em todas as requisi��es. Elas devem seguir o formato �username:password�, serem codificadas com base64 e precedidas por �Basic �. Por exemplo: para o username �Alladin� com password �open sesame�, o header seria "Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==". Deve-se notar que, por conta de suas caracter�sticas, o sistema cliente deve guardar as credenciais do usu�rio para evitar solicit�-las em cada requisi��o, o que pode representar uma nova vulnerabilidade;
Nota: O padr�o para o header Authorization foi apresentado pela W3C na defini��o do HTTP 1.0 (RFC 1945) e segue o formato "Authorization: <type> <credentials>", onde <type> indica o tipo de autentica��o.
Token Based Authentication � Nesse tipo de autentica��o, o cliente realiza um login passando as credenciais do usu�rio e recebe um token, que possui uma assinatura que inviabiliza sua adultera��o. As requisi��es subsequentes adicionam o token a um header e as informa��es contidas nele garantem acesso aos servi�os desejados.

Neste artigo, focaremos em um tipo espec�fico de Token Based Authentication, que utiliza um novo padr�o de token, denominado JSON Web Token (JWT). Al�m de conhecer esse novo tipo de token, veremos como utiliz�-lo em conjunto com o framework Spring Security para proteger uma API RESTful.

JWT

JSON Web Token, ou JWT, � um padr�o aberto (RFC 7519), de uso geral, que possibilita a troca segura de informa��es entre partes, na forma de objetos JSON. Como vantagens, o JWT possui o fato de ser mais compacto que alternativas baseadas em XML e a capacidade de ser autocontido, ou seja, possuir todas as informa��es relevantes sobre um assunto, dispensando consultas adicionais a um eventual banco de dados para recuperar os dados.

Um JWT � composto por tr�s partes: header, payload e signature (assinatura); todas codificadas com base64 (vide BOX 1) e separadas por pontos (.). A seguir, analisaremos cada uma delas em detalhes.

BOX 1. Base64
Base64 � um m�todo para codifica��o de dados para transfer�ncia na internet definido pelo padr�o RFC 4648, que, como seu nome indica, utiliza apenas 64 caracteres ([A-Z], [a-z],[0-9], "/" e "+").

O m�todo consiste em, primeiramente, transformar o texto original em um n�mero bin�rio. Essa transforma��o leva em considera��o a codifica��o original do texto (ASCII). Ap�s isso, o n�mero bin�rio resultante � convertido, por meio de uma tabela, para base64. O texto em ASCII "teste", por exemplo, corresponde ao n�mero bin�rio "01110100 01100101 01110011 01110100 01100101", que, por sua vez, pode ser codificado em base64 como "dGVzdGU=".

Header

O header (cabe�alho) de um JWT � um JSON e, geralmente, cont�m o algoritmo de hashing utilizado na assinatura e o tipo de token (JWT).

A seguir � apresentado um exemplo de header n�o codificado:

  {
    "alg": "HS256",
    "typ": "JWT"
  }

Mesmo header codificado com base64:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

O payload (ou corpo) de um JWT � tamb�m um JSON e cont�m as informa��es relevantes ao assunto, denominadas claims, na forma de pares chave/valor.

Existem tr�s tipos de claims, a saber:

Registradas � Um conjunto de claims cujo uso n�o � obrigat�rio, mas recomendado. S�o elas: iss (Issuer), identificador de quem gerou o JWT; sub (Subject), identificador �nico que representa o assunto do JWT; aud (Audience), identifica o recipiente do JWT; exp (Expiration Time), data/hora de expira��o do JWT; nbf (Not Before), data/hora de ativa��o do JWT, a partir da qual ele ser� v�lido; iat (Issued At), data/hora de gera��o do JWT; e jti (JWT Id), identificador �nico do JWT. Aqui, � interessante notar que, para manter o token compacto, os nomes das claims possuem apenas tr�s caracteres;
P�blicas � Claims criadas por usu�rios de JWTs. Para evitar colis�es, os nomes dessas claims devem ser registrados na IANA ou definidos como URIs que contenham um namespace resistente a colis�o (como um nome de dom�nio, por exemplo);
Nota: Uma colis�o ocorre quando um mesmo nome pode possuir diferentes significados/usos. Isso gera problemas de comunica��o, fazendo com que informa��es sejam interpretadas incorretamente quando transferidas para diferentes sistemas ou m�dulos.
Privadas � Claims criadas com nomes n�o registrados na IANA (vide BOX 2) e n�o resistentes a colis�o. Devem ser utilizadas com cuidado, em comum acordo entre as partes envolvidas (consumidores e produtores).

BOX 2. IANA
A IANA (Internet Assigned Numbers Authority) � uma organiza��o privada, sem fins lucrativos, respons�vel pela atribui��o de nomes e n�meros globalmente �nicos, utilizados em padr�es t�cnicos que regem a Internet. Suas atividades podem ser agrupadas em tr�s categorias: nomes de dom�nio, recursos num�ricos e atribui��es de protocolos.

Um exemplo de payload, contendo claims registradas e privadas, � apresentado na Listagem 1.

Listagem 1. Exemplo de payload com claims registradas e privadas.

  {
    "adm": "true",
    "app": "Postal",
    "iss": "br.com.javamagazine",
    "sub": "Administrator",
    "exp": 1477781160
  }

Nota: � importante mencionar que, geralmente, as informa��es contidas no payload n�o s�o criptografadas. Nada impede, no entanto, de se proteger informa��es sigilosas. Isso, contudo, pode aumentar a quantidade de processamento necess�ria para processar o token, causando problemas de desempenho.

Assinatura

A assinatura serve para identificar quem enviou o JWT e validar se ele n�o foi modificado no trajeto. Diversos algoritmos de chave sim�trica e assim�trica (vide BOX 3) est�o dispon�veis para assinar um JWT, por exemplo: HMAC-SHA256, HMAC-SHA512, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA-512, entre outros. A escolha do algoritmo adequado depende das necessidades de seguran�a da aplica��o desenvolvida.

Os algoritmos de codifica��o utilizam como entradas:

O header codificado com base64 concatenado com o payload, tamb�m codificado com base64;
Uma chave, definida pelo desenvolvedor do sistema. Chaves, idealmente, devem possuir uma quantidade de bits, gerados aleatoriamente, igual ou superior � do algoritmo escolhido. Um exemplo de chave, em hexadecimal, para um algoritmo de 256 bits, como o HMAC-SHA256, seria:
```
"620FD22D31267AFF7D788833E311DA62C1A6CEE8F6A5FB77307B65F2EB2890B7"
```

Em resumo, o pseudoc�digo do processo de codifica��o se pareceria com a seguinte estrutura:

  AlgoritoCodificacao(
    base64UrlEncoder(header) + "." +
    base64UrlEncoder(payload),
    privateKey
  )

O processo de valida��o, no servidor, consiste em gerar uma nova assinatura com o header e o payload recebidos e a comparar com a assinatura original. Qualquer altera��o no conte�do do header ou do payload de um JWT o tornar� inv�lido, pois isso far� com que a nova assinatura gerada seja diferente da original. Todo esse processo de valida��o pode ser mais facilmente visualizado no diagrama apresentado na Figura 1.

BOX 3. Criptografia sim�trica e assim�trica
Algoritmos de criptografia de chave sim�trica utilizam uma chave secreta para codificar e decodificar um conte�do. Esse tipo de algoritmo n�o � eficaz quando h� a necessidade de troca de informa��es, ou seja, quando o respons�vel por decodificar um determinado conte�do n�o � o mesmo que o codificou. Isso ocorre porque, nesses casos, se faz necess�rio compartilhar a chave secreta, o que acrescenta uma nova vulnerabilidade ao processo.

Algoritmos de criptografia de chave assim�trica, por outro lado, utilizam dois tipos de chave, denominadas privada e p�blica, para codificar ou decodificar um conte�do. Como forma de garantir a origem de uma informa��o, utiliza-se a chave privada para codifica��o e a p�blica para decodifica��o. Com essa configura��o, � imposs�vel codificar um conte�do apenas com a chave p�blica, que pode ser distribu�da livremente entre os receptores da informa��o.

Seguran�a com JWT

Por conta de suas caracter�sticas, o JWT � especialmente interessante para uma implementa��o de Token Based Authentication. Sua capacidade de ser autocontido permite transmitir todas as informa��es relevantes aos processos de autoriza��o e autentica��o. Isso, aliado ao seu formato compacto, faz com que seja poss�vel realizar uma autentica��o segura, completamente stateless, com uma carga m�nima em cada requisi��o e sem expor qualquer informa��o privada do usu�rio.

Um efeito colateral positivo causado pelo fato do JWT ser autocontido consiste na possibilidade de ger�-lo em uma aplica��o e utiliz�-lo para autentica��o em diversas outras. Essa caracter�stica faz com que o JWT seja frequentemente utilizado em OAuth (vide BOX 4).

BOX 4. OAuth
OAuth � um padr�o aberto para autoriza��o que permite a um usu�rio, denominado Resource Owner, compartilhar recursos de uma aplica��o, denominada Resource Server, com uma terceira aplica��o, denominada Client, sem expor suas credenciais.

O fluxo para uma implementa��o OAuth 2.0, como ilustrado na Figura 2, se inicia com o Client se registrando no Resource Server, fornecendo dados b�sicos e uma URI de redirecionamento, e recebendo um Client Id e um Client Secret. Logo ap�s, quando um Resource Owner acessa o Client, ele � direcionado ao Resource Server, que solicita uma autoriza��o para compartilhar determinados recursos. Uma vez que o Resource Owner aceita, o Resource Server fornece um token de acesso ao Client, por meio da URI de redirecionamento, com o qual ele tem acesso aos recursos solicitados para, entre outras coisas, autenticar o Resource Owner. O processo de logar com uma conta Google em uma aplica��o, por exemplo, ilustra bem o fluxo do OAuth 2.0.

Nota: Um header de Authorization que cont�m um JWT geralmente segue o formato "Authorization: Bearer <token>", o mesmo utilizado pelo OAuth 2.0.

JWT com Spring Security

Nesta se��o criaremos uma API RESTful com seguran�a via JWT, utilizando como base o framework Spring Security. O c�digo-fonte completo do exemplo se encontra na �rea de downloads desta edi��o. Durante esse processo de constru��o, ser� assumido que o leitor possui conhecimento pr�vio em cria��o de APIs RESTful com o framework Spring MVC e configura��o de autentica��o/autoriza��o convencional utilizando o framework Spring Security.

Inicialmente, vamos configurar o projeto com o Apache Maven. Para isso, especificaremos as depend�ncias necess�rias no arquivo pom.xml, apresentado na Listagem 2. Eis uma pequena descri��o das principais depend�ncias:

Linhas 20 a 24 - O framework Spring Web MVC facilita a cria��o de APIs REST;
Linhas 25 a 34 - O framework Spring Security cuida das funcionalidades de autentica��o e autoriza��o e, com algumas modifica��es, serve como base para nossa implementa��o de seguran�a via JWT;
Linhas 35 a 39 - A serializa��o/desserializa��o JSON fica por conta da biblioteca Jackson;
Linhas 40 a 44 - A biblioteca JJWT � respons�vel por realizar a cria��o, parsing e valida��o dos tokens.

Listagem 2. C�digo do arquivo pom.xml.

  
   <project xmlns="http://maven.apache.org/POM/4.0.0" 
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 
      http://maven.apache.org/maven-v4_0_0.xsd">
     <modelVersion>4.0.0</modelVersion>
     <groupId>br.gov.sp.fatec</groupId>
     <artifactId>SpringRestSecurityJwt</artifactId>
     <packaging>war</packaging>
     <version>1.0-SNAPSHOT</version>
     <name>SpringRestSecurityJwt Maven Webapp</name>
     <url>http://maven.apache.org</url>
     <properties>
       <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
       <org.springframework.version>4.2.6.RELEASE</org.springframework.version>
       <org.springframework.security.version>4.0.3.RELEASE
         </org.springframework.security.version>
       <jackson.version>2.4.1</jackson.version>
       <jjwt.version>0.6.0</jjwt.version>
       <javax.servlet.version>2.5</javax.servlet.version>
     </properties>
     <dependencies>
       <dependency>
         <groupId>org.springframework</groupId>
         <artifactId>spring-webmvc</artifactId>
         <version>${org.springframework.version}</version>
       </dependency>
       <dependency>
         <groupId>org.springframework.security</groupId>
         <artifactId>spring-security-web</artifactId>
         <version>${org.springframework.security.version}</version>
       </dependency>
       <dependency>
         <groupId>org.springframework.security</groupId>
         <artifactId>spring-security-config</artifactId>
         <version>${org.springframework.security.version}</version>
       </dependency>
       <dependency>
         <groupId>com.fasterxml.jackson.core</groupId>
         <artifactId>jackson-databind</artifactId>
         <version>${jackson.version}</version>
       </dependency>
       <dependency>
         <groupId>io.jsonwebtoken</groupId>
         <artifactId>jjwt</artifactId>
         <version>${jjwt.version}</version>
       </dependency>
       <dependency>
         <groupId>javax.servlet</groupId>
         <artifactId>servlet-api</artifactId>
         <version>${javax.servlet.version}</version>
         <scope>provided</scope>
       </dependency>
     </dependencies>
     <build>
       <finalName>SpringRestSecurityJwt</finalName>
       <plugins>
         <plugin>
           <groupId>org.apache.maven.plugins</groupId>
           <artifactId>maven-compiler-plugin</artifactId>
           <configuration>
             <source>1.7</source>
             <target>1.7</target>
           </configuration>
         </plugin>
       </plugins>
     </build>
   </project>

A Figura 3 apresenta a estrutura desejada para nossa aplica��o. O fluxo de acesso padr�o ocorre quando o usu�rio realiza um login bem-sucedido por meio de uma API p�blica (1), recebe um JWT e passa a utiliz�-lo nas requisi��es seguintes que envolvam servi�os privados. Para cada uma dessas requisi��es, o filtro JWT (2) valida o token e insere os dados do usu�rio no contexto de seguran�a. A partir da� o filtro do Spring Security (3) realiza o processo de autoriza��o, verificando se o usu�rio tem acesso ao recurso desejado. Nas pr�ximas se��es detalharemos cada um desses componentes, assim como as configura��es necess�rias para interlig�-los.

Configura��o

Iniciemos, ent�o, com a configura��o do sistema. Para isso, utilizaremos tr�s arquivos: web.xml, para a configura��o geral da aplica��o web; applicationContext.xml, para a configura��o dos elementos do framework Spring; e applicationContext-security.xml, para a configura��o do framework Spring Security.

No arquivo web.xml, apresentado na Listagem 3, configuramos o servlet do Spring MVC (linhas 6 a 19), indicando que os arquivos de configura��o de contexto do Spring seguem o padr�o "/WEB-INF/applicationContext*.xml" (linha 11), e o filtro do Spring Security (linhas 21 a 33), indicando que qualquer requisi��o, antes de ser processada, deve passar por sua verifica��o (linha 30).

Listagem 3. C�digo do arquivo web.xml.

  
 <!DOCTYPE xml>
 <web-app xmlns="http://java.sun.com/xml/ns/javaee" version="2.5">
   <display-name>Spring Rest Security</display-name>
 
   <!-- Add Support for Spring -->
   <servlet>
     <servlet-name>spring</servlet-name>
     <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
     <init-param>
       <param-name>contextConfigLocation</param-name>
       <param-value>/WEB-INF/applicationContext*.xml</param-value>
     </init-param>
     <load-on-startup>1</load-on-startup>
   </servlet>
 
   <servlet-mapping>
     <servlet-name>spring</servlet-name>
     <url-pattern>/</url-pattern>
   </servlet-mapping>
 
   <!-- Spring Security -->
   <filter>
     <filter-name>springSecurityFilterChain</filter-name>
     <filter-class>
       org.springframework.web.filter.DelegatingFilterProxy
     </filter-class>
   </filter>
   <filter-mapping>
     <filter-name>springSecurityFilterChain</filter-name>
     <url-pattern>/*</url-pattern>
     <dispatcher>FORWARD</dispatcher>
     <dispatcher>REQUEST</dispatcher>
   </filter-mapping>
 
 </web-app>

No arquivo applicationContext.xml, apresentado na Listagem 4, indicamos que o framework Spring deve procurar por classes anotadas a partir do pacote br.com.javamazine (linha 13). Al�m disso, habilitamos o uso de anota��es do framework Spring MVC (linha 15).

Listagem 4. C�digo do arquivo applicationContext.xml.

  
 <?xml version="1.0" encoding="UTF-8"?>
 <beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:context="http://www.springframework.org/schema/context"
   xmlns:mvc="http://www.springframework.org/schema/mvc" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans 
     http://www.springframework.org/schema/beans/spring-beans.xsd
     http://www.springframework.org/schema/context 
     http://www.springframework.org/schema/context/spring-context.xsd
     http://www.springframework.org/schema/mvc 
     http://www.springframework.org/schema/mvc/spring-mvc.xsd">
 
   <context:component-scan base-package="br.com.javamagazine" />
 
   <mvc:annotation-driven />
 
 </beans>

Finalmente, no arquivo applicationContext-security.xml, apresentado na Listagem 5, habilitamos o uso das anota��es @PreAuthorize e @PostAuthorize (linha 10); definimos um entry point customizado (linha 12); indicamos que a autentica��o ser� stateless (linha 13), ou seja, que os dados do usu�rio autenticado n�o permanecer�o na sess�o; desabilitamos a prote��o contra CSRF (linha 14), pois o JWT j� previne esse tipo de fraude; inclu�mos um filtro customizado para tratar os JWTs antes do filtro correspondente ao form de login (linha 15); definimos um bean para nosso filtro customizado (linhas 18 a 20); e configuramos um Authentication Manager (linhas 22 a 26), que utiliza o bean segurancaService como um Authentication Provider customizado (linha 23) para recuperar informa��es de usu�rios, cujas senhas n�o se encontram codificadas (linha 24).

Listagem 5. Arquivo applicationContext-security.xml.

  
 <?xml version="1.0" encoding="UTF-8"?>
 <beans:beans xmlns="http://www.springframework.org/schema/security"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
   xmlns:beans="http://www.springframework.org/schema/beans"
   xsi:schemaLocation="http://www.springframework.org/schema/beans
     http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
     http://www.springframework.org/schema/security
     http://www.springframework.org/schema/security/spring-security.xsd">
 
   <global-method-security pre-post-annotations="enabled" />
 
   <http entry-point-ref="restAuthenticationEntryPoint"
     create-session="stateless">
     <csrf disabled="true" />
     <custom-filter before="FORM_LOGIN_FILTER" ref="jwtAuthenticationFilter" />
   </http>
 
   <beans:bean id="jwtAuthenticationFilter"
     class="br.com.javamagazine.security.JwtAuthenticationFilter">
   </beans:bean>
 
   <authentication-manager alias="authenticationManager">
     <authentication-provider user-service-ref="segurancaService">
       <password-encoder hash="plaintext"></password-encoder>
     </authentication-provider>
   </authentication-manager>
 
 </beans:beans>

Nas pr�ximas se��es analisaremos cada um dos elementos configurados.

Entry Point

O Entry Point � respons�vel por definir que a��o tomar quando ocorre um acesso de usu�rio n�o autenticado (que n�o realizou login). O comportamento normal � redirecionar para a p�gina de login, contudo, por se tratarem de APIs REST, esse comportamento seria indesejado. Tendo isso em vista, definimos um Entry Point customizado, apresentado na Listagem 6, que sempre retorna um erro 401 � UNAUTHORIZED (linha 19) para qualquer tipo de erro de autentica��o. Caso seja necess�rio um tratamento mais elaborado, dependente do erro, os dados da requisi��o recusada e do erro se encontram dispon�veis nos par�metros request e authException, respectivamente (linhas 16 e 17).

Listagem 6. C�digo do Entry Point (RestAuthenticationEntryPoint).

  
 package br.com.javamagazine.security;
 
 import java.io.IOException;
 
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 
 import org.springframework.security.core.AuthenticationException;
 import org.springframework.security.web.AuthenticationEntryPoint;
 import org.springframework.stereotype.Component;
 
 @Component
 public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
 
     @Override
     public void commence(HttpServletRequest request,
             HttpServletResponse response, AuthenticationException authException)
             throws IOException {
         response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
     }
 }

Authentication Provider

Para que o Spring Security possa gerenciar os processos de autentica��o e autoriza��o, precisamos definir como gerenciar usu�rios e suas permiss�es. Para isso, utilizaremos as classes User e Authority, que implementam, respectivamente, as interfaces UserDetails e GrantedAuthority do Spring Security. A Figura 4 apresenta um diagrama com ambas as classes.

Diagrama
de classes — **Figura 4.** Diagrama de classes

Nosso Authentication Provider customizado precisa implementar a interface UserDetailsService do Spring Security. Essa interface possui um �nico m�todo, denominado loadUserByUserName(), que recebe como par�metro o nome de usu�rio informado durante o login e deve retornar uma implementa��o da interface UserDetails contendo seus dados e suas autoriza��es. Idealmente, buscar�amos tais informa��es no banco de dados, mas como esse n�o � o foco desse artigo, utilizaremos uma abordagem simplificada. A Listagem 7 apresenta nossa implementa��o, que sempre retorna um User com username e password id�nticos ao par�metro recebido. Se o par�metro possuir valor admin, a Authority associada a esse User ser� ROLE_ADMIN; caso contr�rio a Authority ser� ROLE_USER.

Listagem 7. C�digo do Authentication Provider customizado.

  
 package br.com.javamagazine.service;
 
 import java.util.ArrayList;
 
 import org.springframework.security.core.userdetails.UserDetails;
 import org.springframework.security.core.userdetails.UserDetailsService;
 import org.springframework.security.core.userdetails.UsernameNotFoundException;
 import org.springframework.stereotype.Service;
 
 import br.com.javamagazine.model.Authority;
 import br.com.javamagazine.model.User;
 
 @Service("segurancaService")
 public class SegurancaServiceImpl implements UserDetailsService {
 
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
          if(username == null) {
                 throw new UsernameNotFoundException(username);
          }
          Authority authority = new Authority();
          if(username.equals("admin")) {
                 authority.setAuthority("ROLE_ADMIN");
          }
          else {
                 authority.setAuthority("ROLE_USER");
          }
          User user = new User();
          user.setUsername(username);
          user.setPassword(username);
          user.setAuthorities(new ArrayList<Authority>());
          user.getAuthorities().add(authority);
          return user;
    }
 
 }

At� este ponto, realizamos apenas customiza��es b�sicas no Spring Security. Os pr�ximos elementos, entretanto, s�o exclusivos do JWT e fogem do fluxo usual de autentica��o/autoriza��o, no qual, ap�s uma autentica��o (login) bem-sucedida, todos os acessos subsequentes utilizam as informa��es de autoriza��o armazenadas na sess�o.

Gera��o e parsing de tokens

Para gerar os JWTs durante o processo de autentica��o e realizar o parsing deles durante as requisi��es, foi criada uma classe utilit�ria, denominada JwtUtils, cujo c�digo se encontra na Listagem 8. Nesse projeto, utilizaremos um algoritmo de chave sim�trica (HMAC SHA256) para gerar a assinatura. A chave privada se encontra definida na linha 20. Em projetos reais seria recomend�vel manter essa chave em um arquivo de configura��o e ger�-la utilizando as melhores pr�ticas (idealmente, ela � formada por caracteres aleat�rios, com tamanho m�nimo de 256 bits). Ao analisar a classe JwtUtils, s�o de especial interesse os m�todos generateToken() e parseToken(), respons�veis por gerar e realizar o parsing dos tokens, respectivamente.

Listagem 8. C�digo da classe utilit�ria JwtUtils.

  
 package br.com.javamagazine.security;
 
 import io.jsonwebtoken.Jwts;
 import io.jsonwebtoken.SignatureAlgorithm;
 
 import java.io.IOException;
 import java.util.Date;
 
 import org.springframework.security.core.userdetails.UserDetails;
 
 import br.com.javamagazine.model.User;
 
 import com.fasterxml.jackson.core.JsonParseException;
 import com.fasterxml.jackson.core.JsonProcessingException;
 import com.fasterxml.jackson.databind.JsonMappingException;
 import com.fasterxml.jackson.databind.ObjectMapper;
 
 public class JwtUtils {
 
     private static final String secretKey = "j4v4_s3cr3t";
 
     public static String generateToken(User user)
             throws JsonProcessingException {
         final Long hora = 1000L * 60L * 60L;
         ObjectMapper mapper = new ObjectMapper();
         String userJson = mapper.writeValueAsString(user);
         Date agora = new Date();
         return Jwts.builder().claim("usr", userJson)
                 .setIssuer("br.com.javamagazine")
                 .setSubject(user.getUsername())
                 .setExpiration(new Date(agora.getTime() + hora))
                 .signWith(SignatureAlgorithm.HS256, secretKey).compact();
     }
 
     public static UserDetails parseToken(String token)
             throws JsonParseException, JsonMappingException, IOException {
         ObjectMapper mapper = new ObjectMapper();
         String userJson = Jwts.parser().setSigningKey(secretKey)
                 .parseClaimsJws(token).getBody().get("usr", String.class);
         return mapper.readValue(userJson, User.class);
     }
 
 }

O m�todo generateToken() utiliza a biblioteca JJWT para gerar um token (linhas 28 a 32). Em sua constru��o, optamos por utilizar as claims reservadas iss (linha 29), sub (linha 30) e exp (linha 31). A claim exp, em especial, garante que a validade de nosso token � de apenas 1 hora ap�s sua cria��o. O grande diferencial de nosso token, entretanto, se encontra em nossa claim privada usr (linha 28), na qual inserimos a serializa��o (realizada pelo Jackson nas linhas 25 e 26) de um objeto do tipo User, contendo todas as caracter�sticas e autoriza��es do usu�rio autenticado. Essa claim permite transmitirmos, por meio do token, todas as informa��es necess�rias para autenticar o usu�rio em requisi��es futuras, sem necessidade de qualquer acesso a um Authentication Manager e, consequentemente, a um eventual banco de dados, refletindo o car�ter autocontido de um JWT. Finalmente, geramos a assinatura com o algoritmo HMAC SHA256 e a compactamos em base64 (linha 32).

O m�todo parseToken(), por sua vez, utiliza a biblioteca JJWT para realizar o procedimento inverso, ou seja, validar um token e recuperar as informa��es do usu�rio de seu corpo (payload). Para tanto, ele faz uso da chave secreta para validar o token (linha 38). Ap�s isso, ele recupera a informa��o desejada informando a chave da claim (usr) e seu tipo (String). Durante esse processo, exceptions podem ser geradas se o token for incorreto ou se a data/hora atual for superior � de sua expira��o. Finalmente, utilizamos o Jackson para desserializar o JSON recuperado em um objeto do tipo User (linha 40).

Nota: A JJWT � uma biblioteca Java que utiliza uma interface flu�da para constru��o e parsing de tokens. Segundo o site oficial do padr�o, ela � capaz de validar todas as claims reservadas e suportar todos os algoritmos de criptografia dispon�veis. Dentro de sua estrutura para encadeamento de m�todos, os processos de constru��o e parsing s�o iniciados pela chamada aos m�todos builder() e parser(), respectivamente.

Login

Devido ao fato de necessitarmos gerar e enviar um JWT quando ocorre uma autentica��o bem-sucedida, iremos construir um mecanismo de login customizado, disponibilizado por meio da URL "/login", conforme apresenta a Listagem 9. Esse servi�o deve ser de acesso p�blico, sem qualquer seguran�a, para possibilitar o acesso de usu�rios n�o autenticados.

Como o Authentication Manager do Spring Security implementa toda a l�gica de autentica��o de usu�rios, vamos utiliz�-lo (inje��o nas linhas 25 e 26), ao inv�s de reescrever todo o processo.

Nosso servi�o de login (linhas 33 a 42) receber� um objeto do tipo Login (linha 34) contendo o username e o password e repassar� esses dados para o Authentication Manager para autentica��o. Em caso de sucesso, ser� recuperado do Principal um objeto do tipo User, contendo as caracter�sticas e autoriza��es do usu�rio autenticado (linha 38). Com base nessas informa��es recuperadas, com exce��o do password, geramos um JWT e o carregamos no header Token da resposta (linhas 39 e 40). Adicionalmente, retornamos tamb�m o objeto User (linha 41) para utiliza��o no front-end (mostrar o nome do usu�rio logado, por exemplo).

Nota: No contexto de seguran�a, Principal � um objeto identificador que representa o usu�rio autenticado. Em Java, corresponde a uma implementa��o da interface java.security.Principal.

Listagem 9. C�digo do mecanismo de login.

  
 package br.com.javamagazine.controller;
 
 import javax.servlet.http.HttpServletResponse;
 
 import org.springframework.beans.factory.annotation.Autowired;
 import org.springframework.beans.factory.annotation.Qualifier;
 import org.springframework.security.authentication.AuthenticationManager;
 import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
 import org.springframework.security.core.Authentication;
 import org.springframework.security.core.userdetails.UserDetails;
 import org.springframework.web.bind.annotation.RequestBody;
 import org.springframework.web.bind.annotation.RequestMapping;
 import org.springframework.web.bind.annotation.RestController;
 
 import br.com.javamagazine.model.User;
 import br.com.javamagazine.security.JwtUtils;
 import br.com.javamagazine.security.Login;
 
 import com.fasterxml.jackson.core.JsonProcessingException;
 
 @RestController
 @RequestMapping(value = "/login")
 public class LoginController {
 
     @Autowired
     @Qualifier("authenticationManager")
     private AuthenticationManager auth;
 
     public void setAuth(AuthenticationManager auth) {
         this.auth = auth;
     }
 
     @RequestMapping(path = "")
     public UserDetails login(@RequestBody Login login,
             HttpServletResponse response) throws JsonProcessingException {
         Authentication credentials = new UsernamePasswordAuthenticationToken(
                 login.getUsername(), login.getPassword());
         User user = (User) auth.authenticate(credentials).getPrincipal();
         user.setPassword(null);
         response.setHeader("Token", JwtUtils.generateToken(user));
         return user;
     }
 
 }

Filtro JWT

Precisamos agora incluir em nosso projeto um elemento capaz de utilizar o JWT, enviado em cada requisi��o, para realizar o processo de autentica��o, liberando acesso aos recursos protegidos. Para isso, criaremos um filtro, JwtAuthenticationFilter, apresentado na Listagem 10. Nele, n�s tentamos recuperar um JWT do header Authorization (linhas 27 e 28). Caso ele exista, realizamos a valida��o e o parsing (linha 30), criamos um objeto Authentication com as informa��es recuperadas (linhas 31 a 35) e o carregamos no contexto de seguran�a (linha 36), efetivamente autenticando o usu�rio para essa requisi��o. Caso alguma exception ocorra durante a valida��o do JWT (validade expirada, assinatura inv�lida, etc.), retornamos um erro 401 - UNAUTHORIZED.

Nosso filtro aceita headers Authorization no formato OAuth 2.0 (com prefixo "Bearer ") ou que contenham apenas o JWT. Por esse motivo, na linha 30, eliminamos o texto "Bearer ", se existir, antes de processar o token. Podemos verificar tamb�m que utilizamos apenas as informa��es contidas no JWT, sem necessidade de acessar qualquer outro recurso para realizar a autentica��o do usu�rio.

Listagem 10. C�digo do filtro JWT, JwtAuthenticationFilter.

  
 package br.com.javamagazine.security;
 
 import java.io.IOException;
 
 import javax.servlet.FilterChain;
 import javax.servlet.ServletException;
 import javax.servlet.ServletRequest;
 import javax.servlet.ServletResponse;
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 
 import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
 import org.springframework.security.core.Authentication;
 import org.springframework.security.core.context.SecurityContextHolder;
 import org.springframework.security.core.userdetails.UserDetails;
 import org.springframework.web.filter.GenericFilterBean;
 
 public class JwtAuthenticationFilter extends GenericFilterBean {
 
     private String tokenHeader = "Authorization";
 
     @Override
     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
             throws IOException, ServletException {
 
         try {
             HttpServletRequest servletRequest = (HttpServletRequest) request;
             String authorization = servletRequest.getHeader(tokenHeader);
             if (authorization != null) {
                 UserDetails user = JwtUtils.parseToken(authorization.replaceAll("Bearer ", ""));
                 Authentication credentials = 
                         new UsernamePasswordAuthenticationToken(
                                 user.getUsername(), 
                                 user.getPassword(), 
                                 user.getAuthorities());
                 SecurityContextHolder.getContext().setAuthentication(credentials);
             }
             chain.doFilter(request, response);
         }
         catch(Throwable t) {
             HttpServletResponse servletResponse = (HttpServletResponse) response;
             servletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, t.getMessage());
         }
     }
 }

Ap�s esse filtro, o Spring Security reconhecer� o usu�rio como autenticado, pulando todos os filtros de autentica��o e validando somente se ele possui as autoriza��es necess�rias para acessar os recursos desejados.

Nota: Por conta de ser autocontido, um JWT dispensa o uso de mecanismos tradicionais (Authentication Manager, Authentication Provider, etc.) para realiza��o da autentica��o. Isso pode gerar problemas em sistemas com modifica��es constantes de autoriza��es e, por esse motivo, � importante definir uma pol�tica de expira��o adequada, capaz de garantir que a vida de um token possua uma dura��o m�nima necess�ria para realizar seu prop�sito.

API privada

Nada do que criamos at� agora faria sentido se n�o existissem servi�os a proteger, com acesso privado, em nossa API. A classe TesteController, exposta na Listagem 11, apresenta dois desses servi�os. O primeiro deles, dispon�vel pela URL /api/hello/{nome}, utiliza a anota��o @PreAuthorize para restringir o acesso apenas a usu�rios autenticados (linha 13) e retorna uma mensagem de boas-vindas direcionada ao nome enviado como par�metro na URL (mapeado com a ajuda da anota��o @PathVariable na linha 14). O segundo servi�o, dispon�vel pela URL /api/helloAdmin, utiliza a anota��o @PreAuthorize para restringir o acesso apenas a usu�rios autenticados que possuam a autoriza��o ROLE_ADMIN (linha 19) e retorna uma mensagem de boas-vindas direcionada ao administrador.

Listagem 11. C�digo exemplo da API privada.

  
 package br.com.javamagazine.controller;
 
 import org.springframework.security.access.prepost.PreAuthorize;
 import org.springframework.web.bind.annotation.PathVariable;
 import org.springframework.web.bind.annotation.RequestMapping;
 import org.springframework.web.bind.annotation.RestController;
 
 @RestController
 @RequestMapping(value="/api")
 public class TesteController {
     
     @RequestMapping(value = "/hello/{nome}")
     @PreAuthorize("isAuthenticated()")
     public String hello(@PathVariable("nome") String nome) {
         return "Hello " + nome + "!";
     }
     
     @RequestMapping(value = "/helloAdmin")
     @PreAuthorize("hasRole("ROLE_ADMIN")")
     public String helloAdmin() {
         return "Hello administrator!";
     }
     
 }

Avalia��o

Para avaliar nosso sistema, precisaremos enviar algumas requisi��es HTTP para os recursos privados da API. Existem diversas ferramentas que possibilitam isso, mas vamos utilizar o add-on Postman para o navegador Google Chrome, por sua facilidade de instala��o e uso.

Os casos de teste apresentados nas se��es a seguir visam garantir que nossa API possui as funcionalidades m�nimas de seguran�a necess�rias. Para todos os casos, assume-se que o nome da aplica��o � SpringRestSecurityJwt e o servidor web escolhido utiliza a porta local 8080.

Acesso n�o autorizado

O primeiro teste a realizar consiste em tentar acessar um servi�o sem qualquer autentica��o. A Tabela 1 apresenta a configura��o da requisi��o. O resultado esperado para esse teste � um erro de acesso n�o autorizado (401), pois, fora o login, nenhum servi�o de nossa API aceita acessos n�o autenticados. � importante notar que o servidor utilizado utiliza a porta 8080. Portanto, isso deve ser alterado de acordo com o ambiente de desenvolvimento dispon�vel.

Tipo de requisi��o	GET
URL	http://localhost:8080/SpringRestSecurityJwt/api/hello/teste

Tabela 1. Requisi��o sem autentica��o.

Como esperado, essa requisi��o recebe um erro 401 � UNAUTHORIZED, conforme verificado na Figura 5, que apresenta a tela do Postman contendo a requisi��o e a resposta.

Requisi��o
n�o autenticada — **Figura 5.** Requisi��o n�o autenticada

Login

Nosso pr�ximo teste consiste em realizar um login utilizando nosso servi�o customizado. A Tabela 2 apresenta a configura��o dessa requisi��o, onde passamos os par�metros no corpo (body) como um JSON e, por esse motivo, precisamos informar um header Content-Type com valor application/json. O resultado esperado consiste na recep��o de um JWT correspondente ao usu�rio informado.

Tipo de requisi��o	POST
URL	http://localhost:8080/SpringRestSecurityJwt/login
Headers	Content-Type: application/json
Body	{ "username":"admin", "password":"admin" }

Tabela 2. Login para um usu�rio admin.

Essa requisi��o � processada com sucesso (Status 200 � OK), como podemos visualizar na Figura 6. O elemento mais importante da resposta, contudo, � o header Token, que cont�m nosso JWT.

Ao decodificarmos o segundo trecho do JWT (payload), obtemos o JSON apresentado na Listagem 12, onde podemos visualizar nossa claim privada usr e as claims registradas iss, sub e exp.

Listagem 12. Payload decodificado do JWT.

  {
    "usr": "{\"username\":\"admin\",\"password\":null,\"authorities\":
      [{\"authority\":\"ROLE_ADMIN\"}]}",
    "iss": "br.com.javamagazine",
    "sub": "admin",
    "exp": 1477781160
  }

Acesso com JWT

Finalmente, realizaremos um acesso id�ntico ao primeiro teste, mas utilizando o JWT como meio de autentica��o. A Tabela 3 apresenta a configura��o dessa requisi��o. Para reproduzir o teste, o token deve ser alterado pelo recebido no processo de login.

Ao contr�rio de nosso primeiro teste, temos um header Authorization, onde passamos o JWT recebido ap�s a autentica��o, prefixado por "Bearer ". Dessa vez, esperamos que a requisi��o seja processada com sucesso (Status 200 � Ok) e que recebamos uma mensagem de boas-vindas.

Tipo de requisi��o	GET
URL	http://localhost:8080/SpringRestSecurityJwt/api/hello/teste
Headers	Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c3IiOiJ7XCJ1c2 VybmFtZVwiOlwiYWRtaW5cIixcInBhc3N3b3JkXCI6bnVsbCx cImF1dGhvcml0aWVzXCI6W3tcImF1dGhvcml0eVwiOlwiUk9M RV9BRE1JTlwifV19IiwiaXNzIjoiYnIuY29tLmphdmFtYWdhe mluZSIsInN1YiI6ImFkbWluIiwiZXhwIjoxNDc3NzgxMTYwfQ .Xt_3mGTjHe7sX-SVc6E7KjfFA70ErWnPLYcsynUX4xw

Tabela 3. Requisi��o com JWT.

Confirmando a expectativa, a requisi��o � processada com sucesso (Status 200 � OK), o que pode ser observado na Figura 7. Isso indica que nosso filtro funciona e � capaz de autenticar o usu�rio apenas com o token.

Acesso com JWT inv�lido

Como um teste adicional, tentaremos a mesma requisi��o com um JWT modificado, mantendo a mesma assinatura, mas com um corpo diferente. A Tabela 4 apresenta a configura��o dessa requisi��o. Para reproduzir o teste � necess�rio alterar o payload do token recebido no processo de login. O resultado esperado para esse teste � um erro de acesso n�o autorizado (401).

Tipo de requisi��o	GET
URL	http://localhost:8080/SpringRestSecurityJwt/api/hello/teste
Headers	Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c3IiOiJ7XCJ1c2 VybmFtZVwiOlwiYWrtaW5cIixcInBhc3N3b3JkXCI6bnVsbCx cImF1dGhvcml0aWVzXCI6W3tcImF1dGhvcml0eVwiOlwiUk9M RV9BRE1JTlwifV19IiwiaXNzIjoiYnIuY29tLmphdmFtYWdhe mluZSIsInN1YiI6ImFkbWluIiwiZXhwIjoxNDc3NzgxMTYwfQ .Xt_3mGTjHe7sX-SVc6E7KjfFA70ErWnPLYcsynUX4xw

Tabela 4. Requisi��o com JWT inv�lido.

Essa requisi��o recebe um erro 401 � UNAUTHORIZED, como verificado na Figura 8, mostrando que nosso filtro valida o conte�do, utilizando para isso a assinatura e a chave privada. � importante notar que a mensagem de erro que acompanha o erro indica que a assinatura do JWT n�o bate com a assinatura computada localmente, no servidor.

Acesso com JWT expirado

Neste outro teste adicional, tentaremos a mesma requisi��o com o JWT v�lido, mas ap�s seu tempo de expira��o (conforme configurado em seu corpo). Nesse caso, a requisi��o segue a mesma configura��o previamente apresentada na Tabela 3, mas o resultado esperado dessa vez � um erro de acesso n�o autorizado (401).

Ao executarmos a requisi��o, recebemos um erro 401 � UNAUTHORIZED, como verificado na Figura 9, mostrando que nosso filtro tamb�m valida a data de expira��o do token, conforme a mensagem que acompanha o erro.

**Figura 9.** Requisi��o com JWT expirado

Acesso com JWT contendo autoriza��es insuficientes

Por fim, testaremos um caso onde o JWT possui autoriza��es insuficientes para o servi�o acessado. Para tanto, geraremos um novo token para um usu�rio de nome teste, segundo os par�metros indicados na Tabela 5.

Tipo de requisi��o	POST
URL	http://localhost:8080/SpringRestSecurityJwt/login
Headers	Content-Type: application/json
Body	{ "username":"teste", "password":"teste" }

Tabela 5. Login do usu�rio teste.

O token gerado por essa requisi��o, presente no header Token, � o seguinte:

eyJhbGciOiJIUzI1NiJ9.eyJ1c3IiOiJ7XCJ1c2VybmFtZVwiOlwidGVzdGVcIixcInBhc3N3b3JkXCI6bnVsbCxcImF1dGhvcml0
aWVzXCI6W3tcImF1dGhvcml0eVwiOlwiUk9MRV9VU0VSXCJ9XX0iLCJpc3MiOiJici5jb20uamF2YW1hZ2F6aW5lIiwic3ViIj
oidGVzdGUiLCJleHAiOjE0Nzc4MjgxNTl9.2gGMeLIOq9UEv7ghoS80wNuf2pIfvdzYzkvZEeGGuYk

Al�m disso, o corpo (body) da resposta cont�m um JSON com as caracter�sticas do usu�rio teste, como visualizado na Listagem 13.

Listagem 13. JSON recebido no corpo da resposta.

  {
    "username": "teste",
    "password": null,
    "authorities": [
      {
        "authority": "ROLE USER"
      }
    ]
  }

Utilizaremos esse token para acessar o servi�o helloAdmin, com os par�metros listados na Tabela 6. O resultado esperado � um erro 403 � FORBIDDEN, indicando que o usu�rio n�o possui a autoriza��o necess�ria para acessar o recurso.

Tipo de requisi��o	GET
URL	http://localhost:8080/SpringRestSecurityJwt/api/helloAdmin
Headers	Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c3IiOiJ7XCJ1c2 VybmFtZVwiOlwidGVzdGVcIixcInBhc3N3b3JkXCI6bnVsbCx cImF1dGhvcml0aWVzXCI6W3tcImF1dGhvcml0eVwiOlwiUk9M RV9VU0VSXCJ9XX0iLCJpc3MiOiJici5jb20uamF2YW1hZ2F 6aW5lIiwic3ViIjoidGVzdGUiLCJleHAiOjE0Nzc4MjgxNTl9.2 gGMeLIOq9UEv7ghoS80wNuf2pIfvdzYzkvZEeGGuYk

Tabela 6. Requisi��o com autoriza��es insuficientes.

A Figura 10 apresenta o resultado da requisi��o, o qual condiz com o esperado.

**Figura 10.** Requisi��o com JWT contendo autoriza��es insuficientes

Este artigo apresentou uma abordagem simples e funcional, baseada em Spring Security, de um mecanismo de Token Based Authentication com JWT. Como indicado, entretanto, a implementa��o apresentada n�o busca completude e, por esse motivo, n�o se preocupa com a persist�ncia dos usu�rios e suas autoriza��es ou com problemas de acesso, como CORS (Cross-Origin Resource Sharing).

A persist�ncia pode ser realizada com o aux�lio de outros frameworks, como o Spring Data JPA, e um filtro CORS tamb�m pode ser facilmente criado com o pr�prio framework Spring Security, utilizado neste artigo.

Por fim, outro ponto que merece aten��o, agora que conhecemos JWT, � a possibilidade de criar um mecanismo de autentica��o/autoriza��o com OAuth 2.0. O Spring oferece uma solu��o completa para isso, inclusive com suporte nativo a JWT, com o framework Spring Security OAuth.

Links �teis

Formul�rio de cadastro com JSF e Bootstrap:
Aprenda neste exemplo como criar interfaces ricas com Bootstrap e JSF. Saiba como o Pass-through elements pode te ajudar a ter mais controle sobre o HTML gerado pelos componentes nativos.
Web services: testes funcionais e automatizados com Cucumber:
Como simplificar os testes de web services com Java e Cucumber eliminando as etapas de parser de XML.
WebLogic Multitenant: A nuvem dentro do servidor de aplica��o:
Consolidando suas aplica��es Java EE com controle e isolamento na mesma JVM.

Saiba mais sobre ASP.NET Web API ;)

O que � ASP.NET Web API?:
O ASP.NET Web API � um framework para desenvolvimento de web services RESTful sobre o .NET Framework.
O que � RESTful?:
Este curso possui por objetivo apresentar o que � o REST e qual a diferen�a entre REST e RESTful.
Web Services REST versus SOAP:
Aprenda as diferen�as e vantagens ao adotar cada uma dessas tecnologias em seu projeto Java.

Tecnologias:

Confira outros conte�dos:

Introdu��o ao JDBC

Novidades do Java

Teste unit�rio com JUnit

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Emanuel Em 2017

Coment�rios nesta publica��o Escrever um coment�rio sobre conte�do

Bruno Elly

N�vel 0

Boa noite,

n�o consegui identificar qual o link de download do c�digo.
Podem me ajudar, por favor?

OBrigado

há +1 ano

Rodolfo Gomes

DevMedia

Fala Bruno, tranquilo?

Vc consegue baixar o c�digo fonte no bot�o chamado "c�digo fonte" abaixo da descri��o do artigo.

E qualquer d�vida compartilhe conosco

TMJ

há +1 ano

Edson Silva

N�vel 0

Artigo muito bom! Linguagem simples e direta. Parab�ns ao Autor!

há +1 ano

Emanuel Carneiro

N�vel 0

Muito obrigado pelo elogio! Fico feliz que tenha gostado do artigo!

há +1 ano

Vlademir Souza

N�vel 0

Esse artigo foi um dos melhores sobre o assunto que j� vi
PARAB�NS DEVMEDIA

há +1 ano

Emanuel Carneiro

N�vel 0

Obrigado pelo feedback! Que bom que voc� gostou!

há +1 ano

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Web services RESTful: Como adicionar seguran�a com JWT

No artigo, ser� analisada a implementa��o de uma API RESTful com seguran�a via JWT, baseada no framework Spring Security, para exemplificar todos os conceitos.

JWT

Header

Payload

Assinatura

Seguran�a com JWT

JWT com Spring Security

Configura��o

Entry Point

Authentication Provider

Gera��o e parsing de tokens

Login

Filtro JWT

API privada

Avalia��o

Acesso n�o autorizado

Login

Acesso com JWT

Acesso com JWT inv�lido

Acesso com JWT expirado

Acesso com JWT contendo autoriza��es insuficientes

Links �teis

Saiba mais sobre ASP.NET Web API ;)

Confira outros conte�dos:

Introdu��o ao JDBC

Novidades do Java

Teste unit�rio com JUnit

Perguntas frequentes

Nossos casos de sucesso