Seguridad de primavera

Spring Security es un framework Java / Java EE que proporciona autenticación , autorización y otras funciones de seguridad para aplicaciones empresariales. El proyecto fue iniciado a finales de 2003 como 'Acegi Security' (pronunciado Ah-see-gee / ɑː s iː dʒ iː / , cuyas letras son el primer, tercer, quinto, séptimo y noveno carácter del alfabeto inglés, para evitar conflictos de nombres ^[2] ) por Ben Alex, y fue lanzado públicamente bajo la Licencia Apache en marzo de 2004. Posteriormente, Acegi se incorporó al portafolio de Spring como Spring Security, un subproyecto oficial de Spring. El primer lanzamiento público bajo el nuevo nombre fue Spring Security 2.0.0 en abril de 2008, con soporte comercial y capacitación disponible de SpringSource .

Flujo de autenticación

El diagrama 1 muestra el flujo básico de una solicitud de autenticación mediante el sistema Spring Security. Muestra los diferentes filtros y cómo interactúan desde la solicitud inicial del navegador hasta una autenticación exitosa o un error HTTP 403.

Funciones de autenticación clave

• LDAP (que utiliza estrategias basadas en enlaces y comparación de contraseñas) para la centralización de la información de autenticación. ^{[3] : 358–362, §7-3}
• Capacidades de inicio de sesión único utilizando el popular Servicio de autenticación central .
• Módulo de inicio de sesión del Servicio de autenticación y autorización de Java (JAAS), un método basado en estándares para la autenticación que se utiliza en Java. Tenga en cuenta que esta función es solo una delegación a un módulo de inicio de sesión JAAS.
• Autenticación de acceso básica según se define en RFC 1945.
• Autenticación de acceso mediante resumen ^{[3] : 356–358, §7-3} según se define en RFC 2617 y RFC 2069.
• Presentación del certificado de cliente X.509 según el estándar Secure Sockets Layer .
• CA, Inc SiteMinder para autenticación (un popular producto de gestión de acceso comercial).
• Soporte similar a Su (Unix) para cambiar la identidad principal a través de una conexión HTTP o HTTPS .
• Ejecutar como reemplazo, lo que permite que una operación asuma una identidad de seguridad diferente.
• Autenticación anónima, lo que significa que incluso a los principales no autenticados se les asigna una identidad de seguridad.
• Soporte de adaptador de contenedor (reino personalizado) para Apache Tomcat , Resin , JBoss y Jetty (servidor web) .
• Windows NTLM para habilitar la integración del navegador (experimental).
• Autenticación de formulario web, similar a la especificación del contenedor de servlets .
• Soporte para "Recuérdame" a través de cookies HTTP .
• Soporte de sesiones simultáneas, que limita la cantidad de inicios de sesión simultáneos permitidos por un principal.
• Soporte completo para personalización y conexión de implementaciones de autenticación personalizadas.

Funciones de autorización clave

• Autorización de invocación de métodos de AspectJ .
• Autorización HTTP de URL de solicitudes web mediante una selección de rutas de Apache Ant o expresiones regulares .

Funciones de seguridad basadas en instancias

• Se utiliza para especificar listas de control de acceso aplicables a objetos de dominio .
• Spring Security ofrece un repositorio para almacenar, recuperar y modificar ACL en una base de datos . ^{[3] : 376–381, §7-7}
• Se proporcionan funciones de autorización para aplicar políticas antes y después de las invocaciones de métodos.

Otras características

• Localización de software para que los mensajes de la interfaz de usuario puedan estar en cualquier idioma.
• Seguridad del canal, para cambiar automáticamente entre HTTP y HTTPS al cumplir reglas particulares.
• Almacenamiento en caché en todas las áreas del marco que entran en contacto con la base de datos.
• Publicación de mensajes para facilitar la programación basada en eventos .
• Soporte para realizar pruebas de integración a través de JUnit .
• Spring Security cuenta con pruebas de aislamiento JUnit integrales .
• Varias aplicaciones de muestra, JavaDocs detallados y una guía de referencia.
• Independencia del marco web.

Lanzamientos

• 2.0.0 (abril de 2008)
• 3.0.0 (diciembre de 2009)
• 3.1.0 (7 de diciembre de 2011)
• 3.1.2 (10 de agosto de 2012)
• 3.2.0 (16 de diciembre de 2013)
• 4.0.0 (26 de marzo de 2015)
• 4.1.3 (24 de agosto de 2016)
• 4.2.0 (10 de noviembre de 2016)
• 3.2.10, 4.1.4, 4.2.1 (22 de diciembre de 2016)
• 4.2.2 (2 de marzo de 2017)
• 4.2.3 (8 de junio de 2017)
• 5.0.0 (28 de noviembre de 2017)
• 5.0.8, 4.2.8 (11 de septiembre de 2018) ^[4]
• 5.1.0 GA (27 de septiembre de 2018) ^[5]
• 5.1.1, 5.0.9, 4.2.9 (16 de octubre de 2018) ^[6]
• 5.1.2, 5.0.10, 4.2.10 (29 de noviembre de 2018) ^[7]
• 5.1.3, 5.0.11, 4.2.11 (11 de enero de 2019) ^[8]
• 5.1.4 (14 de febrero de 2019) ^[9]
• 5.1.5, 5.0.12, 4.2.12 (3 de abril de 2019) ^[10]

Citas

1. "Spring Security 5.8.13, 6.2.5 y 6.3.1 ya están disponibles". spring.io . Consultado el 18 de agosto de 2024 .
2. "¿Por qué el nombre Acegi?". spring.io .
3. Deinum y otros 2014.
4. "Spring Security 5.0.8 y 4.2.8 lanzados". spring.io . Consultado el 9 de junio de 2019 .
5. "Spring Security 5.1 ya está disponible". spring.io . Consultado el 9 de junio de 2019 .
6. "Spring Security 5.1.1, 5.0.9 y 4.2.9 lanzados". spring.io . Consultado el 9 de junio de 2019 .
7. "Spring Security 5.1.2, 5.0.10, 4.2.10 lanzado". spring.io . Consultado el 9 de junio de 2019 .
8. "Spring Security 5.1.3, 5.0.11, 4.2.11 publicado". spring.io . Consultado el 9 de junio de 2019 .
9. "Spring Security 5.1.4 lanzado". spring.io . Consultado el 9 de junio de 2019 .
10. "Spring Security 5.1.5, 5.0.12, 4.2.12 lanzado". spring.io . Consultado el 9 de junio de 2019 .

Referencias

• Deinum, Marten; Rubio, Daniel; Long, Josh; Mak, Gary (1 de septiembre de 2014). Recetas de primavera: un enfoque de solución de problemas (segunda edición). Apress . p. 1104. ISBN 978-1-4302-2499-0.
• "¿Por qué el nombre Acegi?". spring.io .

Enlaces externos

• Sitio web oficial