Artigo no estilo: Curso

De que se trata o artigo:

O artigo ensina a utilizar o framework Spring Security 3 para o desenvolvimento de aplicações web seguras. Além disso, descreve as técnicas necessárias para permitir o acesso através de contas OpenID.


Para que serve:

O Spring Security é um framework responsável por cuidar da autenticação e autorização de usuários em aplicações web. A sua utilização permite aos desenvolvedores passar menos tempo se preocupando com a segurança, deixando-a sob responsabilidade da ferramenta.


Em que situação o tema é útil:

O desenvolvimento de aplicações seguras em um curto espaço de tempo e com qualidade garantida é essencial para as empresas de software, onde a concorrência é cada vez mais acirrada e os perigos mais frequentes. Neste contexto, os desenvolvedores precisam de ferramentas que auxiliem nos momentos que forem necessárias alterações nas políticas de segurança, como por exemplo, quando surge a necessidade de novas formas de autenticação e autorização. Para isso, as funcionalidades do Spring Security se encaixam perfeitamente.

Spring Security 3:

Para utilizar o Spring Security você deve saber diferenciar inicialmente dois conceitos básicos: autenticação, através da qual um usuário pode entrar em uma área restrita da aplicação, e autorização, onde são definidas permissões de acesso para as funcionalidades. Também é necessário conhecer as dependências que permitem o funcionamento correto do framework. Dentre elas estão as bibliotecas do Spring 3 e commons logging da Apache.

Ao criar uma aplicação é importante definir inicialmente as autorizações para cada página, e isto é feito, no Spring Security, através de um arquivo xml de configuração. Neste arquivo, também devem ser descritas informações sobre o banco de dados e as consultas necessárias para obter os usuários com permissão de acesso e suas autorizações. Outra forma do Spring Security conhecer estes usuários é através da descrição no próprio arquivo xml.

A segurança é um requisito fundamental para as aplicações web, e as ferramentas responsáveis por garanti-la precisam acompanhar a evolução e as necessidades do mercado para que o bem mais valioso das empresas (suas informações e os dados de seus clientes) continue protegido. Com isso, a Spring Source, buscando manter seu framework Spring Security atualizado e atendendo as necessidades do mercado, lançou uma nova versão.

O Spring Security surgiu da necessidade de uma biblioteca de segurança Java robusta e adaptável a diversos tipos de situações. Apesar de existirem ferramentas como o Java Authentication and Authorization Service (JAAS) e o Java EE Security, a tecnologia da Spring Source é uma opção diferenciada que provê um conjunto de funcionalidades de fácil uso, além de fornecer apoio para integração com vários outros sistemas de autenticação que podem já existir na empresa ou ser de sua necessidade. Os desenvolvedores que o utilizam ganham na produtividade, nas muitas possibilidades e na qualidade da ferramenta.

Este artigo será apresentado em duas partes para permitir que o leitor conheça na íntegra todas as novidades da ferramenta que a tornaram mais completa e organizada. Nesta primeira parte você aprenderá conceitos básicos, necessários para a construção de aplicativos seguros, em seguida, descobrirá como utilizar a nova versão para garantir a segurança das suas aplicações de forma simples e rápida e, por fim, conhecerá as técnicas para permitir o login através do OpenID, ampliando as possibilidades de acesso dos aplicativos.

Na segunda parte – que deve ser publicada na próxima edição – você irá conhecer as novidades do framework, entre elas: o uso da Spring Expression Language (SpEL) para auxiliar na definição de regras de acesso, novas maneiras de utilizar a tag <authorize> para permitir a renderização do conteúdo das páginas, melhorias para o uso do OpenID, assim como, modificações nas extensões suportadas. Ainda na segunda parte, abordaremos as alterações necessárias para migrar as aplicações que já utilizavam o Spring Security 2.x.

A Java Magazine 69 (veja nos Links) apresentou uma introdução completa ao Spring Security. Por isso, este artigo estará focado principalmente em ensiná-lo a utilizar e conhecer as vantagens da nova versão. Conceitos básicos não apresentados poderão ser encontrados na Edição 69. Entretanto, se você nunca utilizou esta ferramenta não se preocupe, pois você poderá aprender na prática com este artigo.

Autenticação x Autorização

Existe uma distinção básica entre dois conceitos fundamentais, se tratando de segurança, que precisam ficar claros para o leitor, são eles: autenticação e autorização. Vejamos a seguir esta distinção.

Autenticação

A autenticação é um processo de verificação para garantir que um usuário poderá ter acesso à aplicação. O conteúdo de uma aplicação pode ter partes não autenticadas, que são acessadas por qualquer usuário sem a necessidade de identificação e partes autenticadas, que necessitam de uma identificação.

As áreas que não precisam de autenticação são caracterizadas por:

• Não exigirem o login do usuário no sistema;

• Não exibirem informações sigilosas e específicas de um usuário, tais como nomes, endereços, cartões de crédito e assim por diante;

• Não fornecerem funcionalidades para alterar o estado global do sistema ou manipular os dados de usuários.

...
Quer ler esse conteúdo completo? Tenha acesso completo