Manejar la seguridad en una aplicación web

Clase 31 de 38 • Curso de Hibernate y Java Spring 2018

Resumen

OWASP es un proyecto open source dedicado a determinar y combatir las causas que hacen que el software sea inseguro (enfocado sobre todo a aplicaciones Java y .Net). Al construir aplicaciones web debemos considerar los siguientes factores de seguridad:

Filtros de Autenticación y Manejo de la Autorización (URLs y contenido al que los usuarios pueden acceder o no dependiendo de sus permisos)
Control de Páginas de Error (configuración de la respuesta que entregamos ante errores tipo 500, 404, entre otros)
Envío de peticiones seguras

Juan Pablo Castro

student•

Ya es abusivo las veces que utiliza "tema" no solo durante esta clase, sino durante el curso

Luis Fernando Pedroza Taborda

student•

Pienso igual que pablovass, el curso esta genial y enseña lo suficiente para saber manejar estas tecnologias de Spring y Hibernate.

Rodrigo Machado

student•

Es bastante molesto el tema del tema

Juan Castro

teacher•

Para entender la diferencia y aprender a implementar mecanismos de autenticación y autorización podemos tomar el Curso de Autorización con OAuth de Platzi 😉.

Mario Contreras

student•

Gracias 😄

Erick Gustavo Chalí Ulín

student•

Éste es el link correcto https://platzi.com/clases/autenticacion-oauth/

Luis Guzmán

student•

Actualmente las aplicaciones están tomando la autenticacion JWT como estandar "JSON Based Token (JWT, https://jwt.io/) es un estándar de código abierto basado en JSON para crear tokens de acceso que nos permiten asegurar las comunicaciones entre cliente y servidor"

Hugo Parischewsky Zapata

student•

curso de mierda

Ricardo Celis

teacher•

hola Hugo! Te saluda Ricardo Celis de Education team en Platzi, me gustaría saber qué es lo que no te ha gustado de este curso

Alejandro De Moraiz

student•

Nunca un proyecto realizado de inicio a fin, falta la parte de reservaciones, el curso deja mucho que desear, una lastima mas que nada porque la parte de reservaciones es mas dicifil y nutre mas al aprendizaje, parece a propósito.

Diego Andres Imbus Guzman

student•

me gustaría mucho que se haga un curso implementando microservicios, y no solo en Java :D

Cesar David Ramírez Dimaté

student•

Ye existe de hecho... Curso de API REST

Pablo David Vallejos

student•

El error mas comun que tuve

Failed to execute goal [32morg.springframework.boot:spring-boot-maven-plugin:2.2.4.RELEASE:run[m

vi que puede salir por varias razones .

mal configuración del application.yaml (esta mal identado)
anotaciones(@Anotation) algunas anotaciones son iguales para algunas librerias(paquete etc) fijensen de exportar bien los paquetes a utilizar si @Service le pertenece a java.persistens u hibernate.
la tonta es que se cuelga el servidor. a veces tuve que cerrar y volver abrir spring tool suite. ( por eso decidí correr el servidor por consola, evito cuelgues). espero que les sirva !

Rubén Zamora González

student•

En mi caso me salía

Failed to execute goal org.springframework.boot:spring-boot-maven-plugin:2.2.5.RELEASE:run (default-cli) on project e-reservation: Application finished with exit code: 1

Y resultaba ser el primer error que comentaste:

Mal identación en el application.yml

Gracias por compartir, porque si hubiese sabido que ese error generalmente era en esos tres casos, hubiese ido más a tiro hecho xD

JOSE ADRIAN TEZOYOTL MORALES

student•

Muy bueno que tomen en cuenta el owasp project para la seguridad de aplicaciones web

JOSE ADRIAN TEZOYOTL MORALES

student•

web.xml asignar paginas para 404 y 50X para no proporcionar información privada del servidor

Francisco Javier Velasco Conde

student•

Para el tema de seguridad utilizando Spring y hablando de una arquitectura de microservicios (Que es lo que mas comúnmente se desarrolla con Spring Boot), se pueden utilizar herramientas como el Servidor de Autenticación y el Servidor de Recurso los cuales son herramientas de Spring Security para creación y validación de JSON WEB TOKENS, estos van acompañados generalmente del API Gateway Zuul que es una herramienta encargada del manejo de peticiones (Le da la cara al publico), lastimosamente en este momento Spring no esta dando soporte a versiones recientes del Servidor de Autenticación. Dicho lo anterior se recomienda utilizar las características de seguridad de algún proveedor de nube.

Luis Fernando Pedroza Taborda

student•

Muchas gracias Francisco, es muy util saber que Spring no esta ofreciendo soporte reciente sobre el servidor de Autenticación.

Luis Fernando Pedroza Taborda

student•

Muy interesante saber proyectos externos a Spring para el manejo de la seguridad, nunca lo habia escuchado, excelente clase.

Julio Izquierdo

student•

Es necesario configurar esta pagina de error si voy a publicar mis servicios para el consumo de aplicaciones externas, por ejemplo en una API responderia con un 400, 500, 403, 404, etc. No seria responsabilidad del cliente validar el error y mostrar o no una pagina correspondiente al error.

Ó seria responsabilidad del backend ?

JESUS ALMIRCAR CASTELLANOS

student•

🔥Ir a repositorio
🔥Ir a repositorio

Lázaro Bucio Marín

student•

Vamos a la Siguiente Clase…!!

Felipe de Jesús Galindo Aguilar

student•

Me gustaría conocer un poco mas sobre esto de seguridad, pero con la integración de SAML, para federar una aplicación. Si me pudiesen dar una orientación de como hacer esta parte.