Spring Security est le sous-projet Spring dédié à la sécurité. Indépendant de JavaEE, il offre un environnement complet pour sécuriser tout type d’application Java : application web, back-end REST ou autre.

Cette formation Spring Security vous apportera les connaissances et compétences nécessaires pour :

• Maîtriser tous les aspects du framework Spring
• Configurer la sécurité applicative
• Implémenter la sécurité applicative.

Public :

Cette formation Spring Security est conçue pour les architectes, chefs de projets, développeurs et ingénieurs.

Prérequis :

Pour suivre de cours Spring Security, il est nécessaire de connaître Java.

Généralités

Rappels sur le framework Spring et les méthodes de configuration (XML, Java, auto-configuration)
Périmètre du framework, authentification et autorisation
Classes cœur de l’API
Intégration JavaEE

Authentification avec Spring

Authentification, Principals, Authorities et Roles
Implémentation d’AuthentifcationProvider
UserDetailService
Password Encoder
Page de login, de logout, Page 403
Login oAuth2
Sécurité pour WebFlux

Configuration des filtres Web

Le bean SecurityFilter Chain, configuration et customisation
Les principaux filtres
Authentification BASIC et Digest
Remember me
Gestion des sessions :
–   Modèle stateful
–   Sessions concurrentes
–   Modèle stateless

Autorisations (Spring Security)

Types de sécurisation, mécanismes des intercepteurs
Beans impliqués : AccessDecisionManager, AccessDecisionVoter
ACLs sur requêtes, expression d’URL
ACLs sur la couche service : alternatives, syntaxe des expressions
Authorities versus Roles

Tests

Rappels
Annotations pour la sécurité
Spring Test MVC
Test des WebClient (Spring5)

Les filtres de protection

CSRF
CORS, configuration
XSS

Les travaux pratiques représentent 75% du temps de la formation.