JVA-013 Spring Security

Spring Security – это самый популярный фреймворк для аутентификации пользователей и ограничения доступа в Enterprise приложении. В данном курсе рассматриваются механизмы аутентификации и авторизации (и их практическое применение).

Модуль 1

• Задачи безопасности
  
• Идентификация, аутентификация, авторизация
  
• Примеры конфигурации Spring Security</li>
  
• Лабораторная работа «Обзор применения Spring Security» (30 мин.)
  
• Возможности Spring Security
  

Модуль 2

• HTTP Basic аутентификация
  
• Лабораторная работа «Настройка HTTP Basic аутентификации» (30 мин.)
  
• Deny-by-Default/Allow-by-Default 
  
• Основные абстракции Spring Security 
  
• Лабораторная работа «Добавление хранилища пользователей» (40 мин.)
  
• Интеграция с Web, аутентификация в Web-приложении
  
• Servlets API, DelegatingFilterProxy, FilterChain, фильтры Spring Security
  
• Form-based аутентификация 
  
• Токены vs. Session Key 
  
• CORS, CSRF, CSRF-токен, XSS 
  
• Лабораторная работа «Логин-форма» (50 мин.) 
  
• Anonymous аутентификация 
  
• Лабораторная работа «Добавление анонимной аутентификации» (30 мин.)
• Remember-Me аутентификация 
  
• Persistent tokens 
  
• Hash-based tokens 
  
• JWT  
  
• Лабораторная работа «Hash-based токены» (20 мин.) 
  
• X509 аутентификация 
  
• Лабораторная работа «Аутентификация с помощью X509 сертификатов» (30 мин.) 
  

Модуль 3

• Абстракции авторизации Spring Security 
  
• Авторизация на основе URL 
  
• Авторизация на основе вызовов методов 
  
• @Secured, @Pre/@Post-аннотации 
  
• Domain Objects Security (ACL) 
  
• Лабораторная работа «ACL и авторизация на основе методов» (1 ч. 30 мин.)

Модуль 4

• OAuth 2.0 роли 
  
• Access- и Refresh-токены
  
• Grant Type: Authorization Code 
  
• Grant Type: Password 
  
• Grant Type: Client credentials 
  
• Grant Type: Implicit 
  
• Домашнее задание