Configuración de Seguridad con Spring Security y Basic Authentication

Clase 5 de 23Curso de Java Spring Security: Autenticación y Seguridad Web

Clase anteriorSiguiente clase

Resumen

¿Cómo podemos configurar un Security Filter Chain en Spring?

Crear un Security Filter Chain en Spring nos permite manejar la seguridad de nuestras aplicaciones, definiendo cómo se autenticará y autorizará cada petición HTTP. Primero, debemos crear un paquete específico para la configuración de seguridad y una clase donde implementaremos los filtros necesarios.

¿Cómo creamos la configuración inicial de seguridad?

  1. Crear un paquete nuevo: Dentro de la capa web del proyecto, crea un paquete llamado Config.
  2. Anotar la clase con @Configuration: Esto permite que Spring gestione e inyecte automáticamente este bean dentro de la aplicación.
  3. Definir el método Security Filter Chain: Crea un método público que retorne un SecurityFilterChain y reciba un HttpSecurity como parámetro.
@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http.build();
    }
}

¿Cómo permitimos o restringimos peticiones HTTP?

Definir las reglas para autorizar peticiones es crucial para proteger una aplicación. Inicialmente, podemos permitir todas las peticiones, y posteriormente, aplicar seguridad ajustando estas configuraciones.

  • Permitir todas las peticiones: Esto esencialmente elimina las capas de autenticación.

    http
    .authorizeRequests()
    .anyRequest().permitAll();

  • Requerir autenticación básica para todas las peticiones: Prioriza la seguridad solicitando autenticación en cada acceso.

    http
    .authorizeRequests()
    .anyRequest().authenticated()
    .and().httpBasic();

¿Cómo validamos la configuración con Postman?

Con la configuración inicial realizada, verifica el comportamiento utilizando herramientas como Postman:

  1. Probar sin autorización: Elimina el encabezado de autorización y envía la petición. Si logras recibir una respuesta, significa que la seguridad está desactivada.
  2. Activar Basic Authentication: Configura la autenticación básica con el usuario y contraseña generados por Spring. Observa que las peticiones ahora requieren credenciales válidas.

En el código, aseguramos que las peticiones usen autenticación básica y verificamos el funcionamiento del filtro correspondiente:

http
    .authorizeRequests()
    .anyRequest().authenticated()
    .and().httpBasic();

Al lanzar la aplicación, el filtro BasicAuthenticationFilter gestionará las autenticaciones. Si el header de la autorización no está presente o es incorrecto, la petición será denegada.

¿Qué debemos tener en cuenta al implementar seguridad en Spring?

  • Gestión de usuarios y contraseñas: Usar User como el usuario por defecto puede ser seguro para desarrollo, pero en producción es crucial personalizar estas credenciales.
  • Desactivar filtros innecesarios: Spring incluye múltiples filtros por defecto. Solo mantén los relevantes para tu caso y desactiva el resto explícitamente.
  • Revisar la documentación de Spring Security: Spring es una herramienta poderosa, y conocer sus capacidades nos ayudará a adaptar más funcionalidades.

Este enfoque fortalece tu aplicación contra accesos no autorizados e intenta hacerlo accesible a usuarios válidos. Continúa explorando y ampliando tus habilidades en seguridad con Spring para dominar estos conceptos.