Todos los cursos > Informática ( TI ) > Lenguajes de programación ( Python, Java, C ) ::

30.13. Desarrollo de API REST con Spring Boot: seguridad de API con Spring Security

Página 138 de 238

Escuchar en audio

Imagen del artículo Desarrollo de API REST con Spring Boot: seguridad de API con Spring Security

30.13. Desarrollo de API REST con Spring Boot: seguridad de API con Spring Security

La creación de API REST es una parte fundamental del desarrollo de aplicaciones modernas y Spring Boot es una de las herramientas más populares para este propósito debido a su facilidad de uso y su amplia gama de funciones. Sin embargo, tan importante como desarrollar la API es garantizar que sea segura. La seguridad de una API no es sólo una preocupación secundaria, sino un componente esencial que debe integrarse desde el inicio del desarrollo. Spring Security es un marco potente y flexible que ayuda a proteger sus aplicaciones contra una variedad de amenazas.

Introducción a la seguridad de Spring

Spring Security es un marco que proporciona autenticación, autorización y protección contra ataques comunes. Se puede integrar fácilmente con Spring Boot para agregar capas de seguridad a las API REST. Con Spring Security, puede controlar el acceso a diferentes partes de su API y asegurarse de que solo los usuarios autenticados y autorizados puedan acceder a ellas.

Configuración básica de seguridad de Spring

Para comenzar a usar Spring Security en un proyecto Spring Boot, debe agregar la dependencia a su archivo pom.xml:


<dependencia>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependencia>

Después de agregar la dependencia, Spring Boot configurará automáticamente la seguridad con una configuración predeterminada. De forma predeterminada, todas sus rutas estarán protegidas y Spring Security generará una contraseña para el usuario "usuario", que se mostrará en la consola durante el inicio de la aplicación.

Personalizar la configuración de seguridad

Si bien la configuración predeterminada es útil para comenzar, la mayoría de las aplicaciones requerirán una configuración de seguridad personalizada. Esto se hace extendiendo la clase WebSecurityConfigurerAdapter y anulando el método configure(HttpSecurity http).


@Configuración
@EnableWebSecurity
la clase pública SecurityConfig extiende WebSecurityConfigurerAdapter {
    
    @Anular
    La configuración de vacío protegido (HttpSecurity http) arroja una excepción {
        http
            .csrf().disable()
            .autorizarRequests()
                .antMatchers("/api/public/**").permitAll()
                .cualquierRequest().autenticado()
            .y()
            .httpBásico();
    }
}

Esta configuración deshabilita CSRF (falsificación de solicitudes entre sitios), que es una buena práctica para las API REST, y define que cualquier solicitud a "/api/public/**" se permite sin autenticación, mientras que todas las demás solicitudes requieren la usuario a autenticar.

Autenticación y Autorización

Spring Security admite varias formas de autenticación, como autenticación básica, autenticación de formularios, OAuth2 y otras. La autorización generalmente se basa en roles o autoridades otorgadas a los usuarios. Los roles son como grupos de autoridades y puedes restringir el acceso a ciertas rutas según los roles de los usuarios.


.antMatchers("/api/admin/**").hasRole("ADMIN")
.antMatchers("/api/user/**").hasAnyRole("ADMIN", "USUARIO")

También puede configurar la autenticación personalizada proporcionando su propia implementación UserDetailsService y PasswordEncoder.


@autocableado
public void configureGlobal (autenticación de AuthenticationManagerBuilder) lanza una excepción {
    autenticación
        .userDetailsService(usuarioDetailsService)
        .passwordEncoder(contraseñaEncoder());
}

@Frijol
codificador de contraseña público codificador de contraseña() {
    devolver nuevo BCryptPasswordEncoder();
}

Protección contra ataques comunes

Spring Security también ofrece protección contra varios tipos de ataques, como sesión fija, clickjacking y secuencias de comandos entre sitios (XSS). Por ejemplo, la configuración predeterminada de Spring Security incluye encabezados HTTP que ayudan a proteger contra el clickjacking:


.encabezados()
    .frameOptions().deny()

Seguridad del nivel del método

Además de la seguridad a nivel de URL, Spring Security también permite la seguridad a nivel de método. Esto significa que puede anotar métodos específicos en sus controladores o servicios para restringir el acceso según las autoridades del usuario.


@PreAuthorize("tieneRole('ADMIN')")
public void someAdminMethod() {
    //...
}

@PreAuthorize("tieneRole('USUARIO')")
público vacío algún método de usuario () {
    //...
}

Conclusión

Spring Security es una poderosa herramienta que agrega seguridad esencial a sus API REST con tecnología Spring Boot. Con una combinación de configuraciones y personalizaciones predeterminadas, puede proteger su API del acceso no autorizado y ataques comunes. La autenticación y autorización flexibles le permiten controlar laacceda de forma granular y proteja sus recursos de manera efectiva. Al integrar Spring Security desde el comienzo del desarrollo de su API, se asegura de que su aplicación no solo funcione bien, sino que también sea segura.

Implementar la seguridad correctamente es un desafío, pero con Spring Security, tiene una base sólida para crear una API REST segura y sólida en Java. Si sigue las mejores prácticas y comprende las capacidades que ofrece Spring Security, estará bien equipado para proteger sus aplicaciones contra las amenazas cada vez más sofisticadas del mundo digital.

Ahora responde el ejercicio sobre el contenido:

¿Cuál de las siguientes describe correctamente una configuración de seguridad realizada con Spring Security en un proyecto Spring Boot?

¡Tienes razón! Felicitaciones, ahora pasa a la página siguiente.

¡Tú error! Inténtalo de nuevo.

Imagen del artículo Desarrollo de API REST con Spring Boot: pruebas unitarias y de integración

Siguiente página del libro electrónico gratuito:

139Desarrollo de API REST con Spring Boot: pruebas unitarias y de integración

5 minutos

¡Obtén tu certificado para este curso gratis! descargando la aplicación Cursa y leyendo el libro electrónico allí. ¡Disponible en Google Play o App Store!

Disponible en Google Play Disponible en App Store

Este artículo pertenece al Ebook gratuito:

Portada de libro electrónico gratuitaAprende a programar en Java completo, desde programación lógica hasta avanzada

Aprende a programar en Java completo, desde programación lógica hasta avanzada

5

(3)

238 páginas

Cursos gratuitos online sobreLenguajes de programación ( Python, Java, C )

Nuestros cursos en línea gratuitos de programación ofrecen capacitación integral en todos los lenguajes populares como Java, Python, C y más. Aprende a programar.

Cursos gratuitos online sobreInformática ( TI )

Cursos de informática gratis desde básico hasta avanzado con cursos de informática básica, programación, excel. Todos los cursos con certificado de finalización

+ 6,5 millones
estudiantes

Certificado gratuito y
válido con código QR

48 mil ejercicios
gratis

Calificación de 4.8/5
en tiendas de aplicaciones

Cursos gratuitos de
vídeo, audio y texto.

Informática ( TI )152 cursos Excel, Word, LibreOffice y más, 26 cursos | Computación basico, 12 cursos | Desarrollo web, 21 cursos | Lenguajes de programación ( Python, Java, C ), 11 cursos | Lógica de programación, 9 cursos | Inteligencia artificial y Ciencia de los datos, 11 cursos | Mantenimiento de Computadora, 4 cursos | Seguridad de la Información, 4 cursos | Desarrollo de aplicaciones, 9 cursos | Desarrollo de juegos, 10 cursos | Banco de datos, 7 cursos | SEO, 2 cursos | Servidores Web y Redes, 7 cursos | Sistemas operacionales, 3 cursos | Desarrollo backend, 7 cursos | Testes de software, 4 cursos | Herramientas de TI, 5 cursos |
Profesionales146 cursos Electrónica, 16 cursos | Atención al cliente, secretariado y recepción, 10 cursos | Cajero, 6 cursos | Cocina, 13 cursos | Derecho, 3 cursos | Mantenimiento de autos, 7 cursos | Logística, 6 cursos | Reparación de smartphone, 7 cursos | Mantenimiento de motos, 2 cursos | Soldadura, 6 cursos | Moda, corte y costura, 7 cursos | Construcción, 6 cursos | Seguridad del trabajo, 5 cursos | Gestión hotelera, 5 cursos | Seguridad patrimonial, 5 cursos | Refrigeración, 4 cursos | Pedagogía, 3 cursos | Almacenista, 3 cursos | Periodismo, 4 cursos | Agente inmobiliario, 3 cursos | Artesanía, 8 cursos | Agroindustria y Medio Ambiente, 4 cursos | Aire acondicionado, 3 cursos | Carpintería, 4 cursos | Otras profesiones, 5 cursos |
Administracion de Negocios100 cursos Administración y Emprendimiento, 14 cursos | Marketing digital, 17 cursos | Contabilidad, 10 cursos | Economía, 8 cursos | Inversiones y Trading, 10 cursos | Liderazgo y habilidades empresariales, 6 cursos | Recursos humanos, 7 cursos | Finanzas personales, 6 cursos | Ventas y comercio electrónico, 8 cursos | Gestion de Proyecto, 9 cursos | Gestión pública, 5 cursos |
Idiomas80 cursos Inglés, 15 cursos | Francés, 9 cursos | Italiano, 8 cursos | Coreano, 8 cursos | Lengua de señas, 6 cursos | Aleman, 9 cursos | Chino Mandarin, 6 cursos | Japonés, 5 cursos | Español, 2 cursos | Portugues, 3 cursos | Noruego, 2 cursos | Hebreo, 5 cursos | Ruso, 2 cursos |
Salud67 cursos Primeros auxilios, 11 cursos | Farmacología, 6 cursos | Psicologia, 6 cursos | Nutrición y pérdida de peso, 9 cursos | Fisioterapia, 8 cursos | Anatomía, 7 cursos | Educación Física, 10 cursos | Veterinario, 5 cursos | Virología, 3 cursos | Enfermería, 2 cursos |
Diseño y Arte55 cursos Diseño grafico, 9 cursos | Dibujo, 10 cursos | Edición de imagen, 8 cursos | Diseño Arquitectonico, 8 cursos | Edición de video, 14 cursos | UX / UI - Experiencia de usuario, 5 cursos | Animaciones de vídeo, 1 cursos |
Estudios básicos46 cursos Matemáticas, 7 cursos | Redacción y Lenguaje, 6 cursos | Historia, 6 cursos | Literatura, 1 cursos | Geografía, 3 cursos | Química, 7 cursos | Estadística y probabilidad, 5 cursos | Física, 6 cursos | Biología, 5 cursos |
Instrumentos musicales49 cursos Guitarra Acústica, 5 cursos | DJ y Producción Musical, 10 cursos | Teoría musical, 2 cursos | Guitarra Eléctrica, 6 cursos | Canto, 2 cursos | Teclado / Piano, 3 cursos | Oratoria, 3 cursos | Violin, 5 cursos | Bateria, 5 cursos | Saxofón, 4 cursos | Ukelele, 4 cursos |
Estética31 cursos Uñas, manicura y pedicura, 8 cursos | Cejas, 4 cursos | Maquillaje, 6 cursos | Barbería, 6 cursos | Cuidado del cabello, 8 cursos |
Los demás47 cursos Masaje, 2 cursos | Fotografía, 10 cursos | Cuidado de niños y ancianos, 4 cursos | Danza, 6 cursos | Deportes, 4 cursos | Teologia, 3 cursos | Astrología, 2 cursos | Astronomía, 3 cursos | Teatro, 2 cursos | Juegos de mesa y de cartas, 2 cursos | Youtuber, 3 cursos | Robótica, 5 cursos | Activismo, 1 cursos |

Este sitio y la aplicación han sido desarrollados con el objetivo de ayudar a las personas a encontrar cursos gratuitos más fácilmente, ya que hay muchos contenidos buenos y gratuitos en youtube, pero muchas personas no son conscientes de ello.
contato@cursa.app

MEDEIROS TECNOLOGIA LTDA - CNPJ 24.471.978/0001-08

Acceso en otros idiomas:

Inglés Portugués Francés Hindi
Disponible en Google Play Disponible en App Store
DMCA.com Protection Status