Розгляд основних загроз веббезпеки у світі, а також варіантів розв’язання деяких проблем веббезпеки, які пропонує Spring Security. Підключення фреймворку Spring Security до проєкту, а також власної форми аутентифікації та налаштування функції Logout. Створення найпростішої конфігурації із стандартною формою аутентифікації користувача.

В уроці ми розглянемо перехоплення запитів елементом intercept-url, його атрибутів створення ланцюга фільтрів безпеки. Також познайомимося з можливостями використання SpEL для визначення значень атрибутам елемента intercept-url, як потужного інструменту налаштування. Продовжимо знайомства з ролями користувачів як з одним із найпопулярніших фільтрів у Spring Security. Дізнаємося все про розширення об'єкта user-service для in-memory аутентифікації додатковими об'єктами користувачів із різними ролями. Створимо ланцюг фільтрів для вилову різних запитів доступу до різних ресурсів і розмежування доступу до них, відповідно до ролей користувачів. Також розглянемо необхідні бібліотеки та налаштування для роботи з даними аутентифікації на стороні користувача як сторінок JSP, так і шаблонізатора Thymeleaf.

Розгляд можливих варіантів джерел даних аутентифікації Spring Security. Детальний розгляд джерела даних LDAP як альтернативи бази даних. Розгляд джерела даних JDBC та заміна in-memory аутентифікації на аутентифікацію з бази даних у проєкті, шляхом впровадження в контекст програми та налаштування елемента authentication-manager і authentication-provider. Створення спеціальних SQL-запитів для отримання даних аутентифікації користувача та його ролей з бази даних

Ми ознайомимося з можливостями, що надаються Spring Security для обмеження доступу до окремих методів, залежно від ролей користувача та стану аутентифікації. Вивчимо можливості Spring Security, в основі яких лежить AOP для втручання в процес виконання методу та впливу на результат його виконання, залежно від дозволів користувача і, як результат, більш тонке налаштування безпеки в додатку.

Повна заміна XML-файлу конфігурації Spring Security на конфігурацію у стилі Java. Створення власних елементів user-detail-service та authentication-provider для втручання у процес аутентифікації. Розробка ланцюга фільтрів у стилі Java для виловлення запитів та включення до нього захисту від CSRF-атак та можливості доступу до сторонніх ресурсів CORS. Розгляд принципів шифрування паролів у Spring Security та встановлення методу шифрування у навчальному додатку.