Introducción
Protección de Aplicaciones Web con Spring Security
Autenticación y Autorización con Spring Security
Configuración de Spring Security en Aplicaciones Java
Autenticación Básica con Spring Security
Configuración de seguridad
Configuración de Spring Security: Filter Chain y Basic Authentication
Autenticación HTTP Basic con Spring Security
Desactivación de Protección CSRF en API REST Stateless
Configuración de CORS en Spring Security para APIs
Spring Security: Configuración de Request Matchers
Creando Usuarios Personalizados en Spring Security
Control de Accesos y Permisos en Aplicaciones Web
Autenticación con BD
Creación de tablas de usuarios en MySQL con Spring Data JPA
Implementación de UserDetailService en Spring Security con MySQL
Roles y permisos en aplicaciones Spring con MySQL
Fundamentos de Authorities y Roles en Spring Security
Seguridad de Métodos en Spring con @Secured
Seguridad con JWT
Creación y Configuración de JSON Web Tokens en Spring con Auth0
Creación de AuthController y gestión de JSON Web Tokens en Spring.
Validación de Tokens JWT y Extracción de Usuarios
Creación de filtros de seguridad JWT en Spring Security
Validación de JSON Web Token en Spring Security
Próximos pasos
Auditoría de Usuarios en Spring Data JPA y Spring Security
Seguridad en Spring: Autenticación con JWT y Base de Datos
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Cuando trabajamos en proyectos web divididos en frontend y backend, a menudo tratamos con el intercambio de recursos entre diferentes orígenes. Esto es especialmente común cuando la aplicación frontend se ejecuta desde un dominio y el backend desde otro. Aquí es donde entra CORS (Cross-Origin Resource Sharing), un sistema crucial para permitir o restringir tales interacciones por razones de seguridad.
Por defecto, los frameworks como Spring bloquean estas peticiones cruzadas. Esto puede ser un obstáculo si, por ejemplo, nuestro frontend se ejecuta en localhost:4200 usando Angular, y nuestro API backend corre en localhost:8080. Afortunadamente, Spring Security ofrece mecanismos para configurar y habilitar CORS, permitiendo así que aplicaciones de frontend puedan comunicarse con APIs alojadas en diferentes dominios.
Para gestionar CORS en una aplicación Spring, es necesario modificar algunas configuraciones del backend. Esto asegura que tu aplicación pueda reconocer y permitir peticiones legítimas desde otros orígenes.
Deshabilitar CSRF y habilitar CORS:
cors().and(). Esto asegura que las configuraciones de CORS y las peticiones autorizadas se consideren.Anotación a métodos específicos:
Utiliza la anotación @CrossOrigin en los métodos de tus controladores para permitir accesos desde orígenes específicos. Por ejemplo:
@CrossOrigin(origins = "http://localhost:4200")
public ResponseEntity<Pizza> getPizzas() {
// Tu lógica aquí
}
Implementación de una configuración global:
Para evitar anotar cada método individualmente, puedes definir una configuración global. Esto se realiza creando una nueva clase configuradora:
@Configuration
public class CorsConfig {
@Bean
public CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("http://localhost:4200"));
configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));
configuration.setAllowedHeaders(Arrays.asList("*"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
Optar por una configuración global de CORS en un proyecto tiene varias ventajas:
Simplicidad y Mantenimiento: Centralizar las configuraciones hace que el mantenimiento del código sea más sencillo. Cualquier cambio en las políticas de origen solo requiere una modificación en el archivo de configuración.
Consistencia: Proporciona una manera uniforme de gestionar el acceso a todos los controladores y métodos, asegurando una protección constante y sin omisiones.
Escalabilidad: Facilita la ampliación de las políticas de acceso conforme el proyecto crece, simplificando la adición de nuevos métodos y controladores que necesitan el mismo manejo de políticas de acceso.
Después de implementar la configuración de CORS, es vital verificar el funcionamiento de la aplicación:
Inicializa la aplicación: Lanza la aplicación backend y revisa que la configuración de CORS se carga correctamente. Esto se puede verificar revisando las trazas del servidor.
Validación de Seguridad: Siempre asegúrate de que las políticas de seguridad no han sido alteradas inadvertidamente. Uso de herramientas como Postman para comprobar la autenticación de peticiones asegura que todo funciona como esperabas.
Prueba desde el frontend: Finalmente, accede al frontend y realiza pruebas desde diferentes entornos (navegadores, dispositivos) para confirmar que las peticiones cross-origin funcionan y se manejan correctamente.
Con esta configuración, Spring Security te permite gestionar las políticas de acceso entre orígenes de manera eficiente. ¡Sigue aprendiendo y explorando las funcionalidades que estos marcos pueden ofrecer a tus proyectos!
Aportes 15
Preguntas 4
Muy importante el CORS en Proyectos reales.
Si toca implementar Back, asegúrense de utilizarlos, a veces quien hace los servicios consume o hace pruebas desde Postman o otro programa en Java, ahi no les marcara error de CORS como una aplicación front desde el navegador web, y pueden tener la errorea idea de que están bien y perdiendo tiempo con el otro equipo verificando donde esta el problema.
Errores de CORS --> 100% Back.
Por si algún compañero tiene problemas al aplicar la configuración de cors en la clase SecurityConfig, ya que intellij dice que esta deprecado. Pueden utilizar el siguiente código:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.authorizeHttpRequests(customizeRequests -> {
customizeRequests.anyRequest().authenticated();
}).csrf(AbstractHttpConfigurer::disable).cors(Customizer.withDefaults())
.httpBasic(Customizer.withDefaults());
return http.build();
}
CORS
=Cross-Origin Resource Sharing
=Uso compartido de recursos entre orígenes
Hola compañeros, tengo unas ganas de hacer una implemetación de front end al proyecto asi que les traigo un HTML (index.html) y Js (main.js) para los que tambien tienen ganas de hacer eso y ir probando el proyecto puedan hacerlo ❤️
HTML (index.html)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Pizza</title>
</head>
<body>
<div id="pizzas"></div>
<script src="main.js"></script>
</body>
</html>
JavaScript (main.js)
const urlAPI = "";
const APIKey = "XXXXXXXXXXXXXXXXXXXX";
async function pizzasGET () {
const response = await fetch(urlAPI,
{
method: 'GET',
headers: {
'Content-Type': 'application/json',
'Authorization': APIKey,
},
});
const datos = await response.json();
console.log(datos);
const pizzaContent = document.getElementById("pizzas");
pizzaContent.textContent = JSON.stringify(datos);
}
pizzasGET();
Aqui les dejo el html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Pizza</title>
</head>
<body>
<code id="pizzas">
</code>
<script>
const pizzaContent=document.getElementById("pizzas")
const url=""
const auth="Basic dXNlcjozM2EzNGM4Ny0yMzZmLTQ1YzUtYWU4NC1mZGY3MmJhZWY3NzY="
fetch(url, {
"headers": {
"Authorization": auth
}})
.then(response => response.json())
.then(result => {
console.log(result)
pizzaContent.textContent = JSON.stringify(result);
});
</script>
</body>
</html>
normalmente yo solo aqui aplicada lo de los CORS XD:
@CrossOrigin(origins = { “*” })
@RestController
@RequestMapping("/api")
public class ClientRestController {
ahora ya se que lo puedo hacer mas profesional jajaj xd
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?