Manejar la seguridad en una aplicación web

Clase 31 de 38 • Curso de Hibernate y Java Spring 2018

Resumen

OWASP es un proyecto open source dedicado a determinar y combatir las causas que hacen que el software sea inseguro (enfocado sobre todo a aplicaciones Java y .Net). Al construir aplicaciones web debemos considerar los siguientes factores de seguridad:

Filtros de Autenticación y Manejo de la Autorización (URLs y contenido al que los usuarios pueden acceder o no dependiendo de sus permisos)
Control de Páginas de Error (configuración de la respuesta que entregamos ante errores tipo 500, 404, entre otros)
Envío de peticiones seguras

Juan Pablo Castro

student•

Ya es abusivo las veces que utiliza "tema" no solo durante esta clase, sino durante el curso

Luis Fernando Pedroza Taborda

student•

Pienso igual que pablovass, el curso esta genial y enseña lo suficiente para saber manejar estas tecnologias de Spring y Hibernate.

Rodrigo Machado

student•

Es bastante molesto el tema del tema

Juan Castro

teacher•

Para entender la diferencia y aprender a implementar mecanismos de autenticación y autorización podemos tomar el Curso de Autorización con OAuth de Platzi 😉.

Mario Contreras

student•

Gracias 😄

Erick Gustavo Chalí Ulín

student•

Éste es el link correcto https://platzi.com/clases/autenticacion-oauth/

Luis Guzmán

student•

Actualmente las aplicaciones están tomando la autenticacion JWT como estandar "JSON Based Token (JWT, https://jwt.io/) es un estándar de código abierto basado en JSON para crear tokens de acceso que nos permiten asegurar las comunicaciones entre cliente y servidor"

Hugo Parischewsky Zapata

student•

curso de mierda

Ricardo Celis

teacher•

hola Hugo! Te saluda Ricardo Celis de Education team en Platzi, me gustaría saber qué es lo que no te ha gustado de este curso

Alejandro De Moraiz

student•

Nunca un proyecto realizado de inicio a fin, falta la parte de reservaciones, el curso deja mucho que desear, una lastima mas que nada porque la parte de reservaciones es mas dicifil y nutre mas al aprendizaje, parece a propósito.

Diego Andres Imbus Guzman

student•

me gustaría mucho que se haga un curso implementando microservicios, y no solo en Java :D

Cesar David Ramírez Dimaté

student•

Ye existe de hecho... Curso de API REST

Pablo David Vallejos

student•

El error mas comun que tuve

Failed to execute goal [32morg.springframework.boot:spring-boot-maven-plugin:2.2.4.RELEASE:run[m

vi que puede salir por varias razones .

mal configuración del application.yaml (esta mal identado)
anotaciones(@Anotation) algunas anotaciones son iguales para algunas librerias(paquete etc) fijensen de exportar bien los paquetes a utilizar si @Service le pertenece a java.persistens u hibernate.
la tonta es que se cuelga el servidor. a veces tuve que cerrar y volver abrir spring tool suite. ( por eso decidí correr el servidor por consola, evito cuelgues). espero que les sirva !

Rubén Zamora González

student•

En mi caso me salía

Failed to execute goal org.springframework.boot:spring-boot-maven-plugin:2.2.5.RELEASE:run (default-cli) on project e-reservation: Application finished with exit code: 1

Y resultaba ser el primer error que comentaste:

Mal identación en el application.yml

Gracias por compartir, porque si hubiese sabido que ese error generalmente era en esos tres casos, hubiese ido más a tiro hecho xD

JOSE ADRIAN TEZOYOTL MORALES

student•

Muy bueno que tomen en cuenta el owasp project para la seguridad de aplicaciones web

JOSE ADRIAN TEZOYOTL MORALES

student•

web.xml asignar paginas para 404 y 50X para no proporcionar información privada del servidor

Francisco Javier Velasco Conde

student•

Para el tema de seguridad utilizando Spring y hablando de una arquitectura de microservicios (Que es lo que mas comúnmente se desarrolla con Spring Boot), se pueden utilizar herramientas como el Servidor de Autenticación y el Servidor de Recurso los cuales son herramientas de Spring Security para creación y validación de JSON WEB TOKENS, estos van acompañados generalmente del API Gateway Zuul que es una herramienta encargada del manejo de peticiones (Le da la cara al publico), lastimosamente en este momento Spring no esta dando soporte a versiones recientes del Servidor de Autenticación. Dicho lo anterior se recomienda utilizar las características de seguridad de algún proveedor de nube.

Luis Fernando Pedroza Taborda

student•

Muchas gracias Francisco, es muy util saber que Spring no esta ofreciendo soporte reciente sobre el servidor de Autenticación.

Luis Fernando Pedroza Taborda

student•

Muy interesante saber proyectos externos a Spring para el manejo de la seguridad, nunca lo habia escuchado, excelente clase.

Julio Izquierdo

student•

Es necesario configurar esta pagina de error si voy a publicar mis servicios para el consumo de aplicaciones externas, por ejemplo en una API responderia con un 400, 500, 403, 404, etc. No seria responsabilidad del cliente validar el error y mostrar o no una pagina correspondiente al error.

Ó seria responsabilidad del backend ?

JESUS ALMIRCAR CASTELLANOS

student•

🔥Ir a repositorio
🔥Ir a repositorio

Lázaro Bucio Marín

student•

Vamos a la Siguiente Clase…!!

Felipe de Jesús Galindo Aguilar

student•

Me gustaría conocer un poco mas sobre esto de seguridad, pero con la integración de SAML, para federar una aplicación. Si me pudiesen dar una orientación de como hacer esta parte.

Christian zambrano

student•

Tengo el siguiente error ayuda Marco por favor

Jair Israel Avilés Eusebio

student•

Parecer ser no suficiente la captura de pantalla ¿podrias compartir el trace completo del error?

Santiago Casallas Bohorquez

student•

tienes que mirar mas arriba y leer cual fue el procedimiento que no se ejecuto bien y después, investigar cual fue el error.

Usuario anónimo

user•

Entendido.. super importante considerar las vulnerabilidades que informa OWASP :)

Eliana Huamani

student•

que cursos dentro de platzi recomiendas profesor para profundizar este tema.

Manejar la seguridad en una aplicación web

Bienvenida e Introducción

Qué aprenderás sobre Hibernate y Java Spring

Instalar ambiente de desarrollo en Windows

¿Qué es una Aplicación Empresarial?

¿Cómo funcionan las Aplicaciones Web?

Servidores Web vs Servidores de Aplicación

Instalar ambiente de desarrollo Mac

Patrón de Arquitectura MVC

Características de los Servlet

Utilización del Servlet

Características y práctica de JSP

Comenzar con Spring Boot

Arquitectura de las Aplicaciones Web

Características de Spring Framework

Características de Spring Boot

Crear, cargar y configurar una aplicación en Spring Boot

Crear la estructura del proyecto

Spring Data JPA

Persistencia de objetos

Spring Data, Spring Data JPA

Iniciar la base de datos postgres utilizando Docker

Optimizar Pojos con Lombok

Mapear Tablas de la Base de Datos

Configurar la persistencia con Hibernate

Manejo de Negocio

Añadir JPA Repository

Implementar las operaciones de Consulta con JPA Repository

Implementar servicio de negocio para las operaciones CRUD

Manejar la transaccionalidad de un servicio de negocio

Spring REST

Instalar y configurar Swagger

Características de los Servicios Web y Spring Rest

Implementar las operaciones REST para crear y actualizar información

Implementar las operaciones REST para eliminar y consultar información

Documentación de los servicios REST con Swagger

Spring Security

Manejar la seguridad en una aplicación web

Características, instalación e integración de Spring Security

Personalizar la página de Login

Despliegue Aplicaciones Docker

Realizar la configuración de Docker Plugin

Crear una imagen docker de la aplicación

Subir la aplicación a docker hub

Ejecutar la aplicación dockerizada

Despedida del curso