[SnowOne 2025] Павел Кислов: Spring Security OAuth2 & Co Explained

Transcript

1. Spring Security OAuth2 & Co Explained  1

2. Кислов Павел • Я из Spring Айо • Около 8

   лет в Java • Играю на 8 инструментах • Катаюсь на серфе • Играю в большой теннис • Бабушка говорит, что я молодец  2

3.  3

4. Зачем мне этот доклад и что я узнаю?  4

   •OAUTH2 и его детали •Новый Spring Authorization Server •OAUTH2 для Rest Client в Spring •SAML и OIDC •Отличия SAML и OIDC от OAUTH2

5.  5 Laur Spilca Daniel Garnier-Moiroux

6. Какой вид имел Spring Security на момент выхода Spring Boot

   3? Everything new in Spring Security 6 baked with a Spring Boot 3 recipe by Laur Spilca Павел Кислов Spring Security: повседневное и неочевидное Spring Security, demystified by Daniel Garnier Moiroux  6

7. Какие события произошли со Spring Security за 23-24 год? •

   Вышел новый Spring Authorization Server  7

8. Какие события произошли со Spring Security за 23-24 год? •

   Вышел новый Spring Authorization Server • Задепрекейтили ACL, а потом раздепрекейтили ACL  8

9. Базовый набор информации про ACL  9

10. Какие события произошли со Spring Security за 23-24 год? •

    Вышел новый Spring Authorization Server • Задепрекейтили ACL, а потом раздепрекейтили ACL • Вышла поддержка OAUTH2 для Rest Client  10

11. Какие события произошли со Spring Security за 23-24 год? •

    Вышел новый Spring Authorization Server • Задепрекейтили ACL, а потом раздепрекейтили ACL • Вышла поддержка OAUTH2 для Rest Client • Сильно обновились возможности SAML  11

12. Какие события произошли со Spring Security за 23-24 год? Что

    нового в Spring Boot 3.4: Spring Security Поддержка RestClient для OAuth2 в Spring Security 6.4  12

13. Какие события произошли со Spring Security за 23-24 год? •

    Вышел новый Spring Authorization Server • Задепрекейтили ACL, а потом раздепрекейтили ACL • Вышла поддержка OAUTH2 для Rest Client • Сильно обновились нюансы для работы с SAML • Закрыли кучу багов с CVE(Common Vulnerabilities and Exposures)  13

14. Какие события произошли со Spring Security за 23-24 год? •

    Вышел новый Spring Authorization Server • Задепрекейтили ACL, а потом раздепрекейтили ACL • Вышла поддержка OAUTH2 для Rest Client • Сильно обновились нюансы для работы с SAML • Закрыли кучу багов с CVE(Common Vulnerabilities and Exposures) • Весь Security двигался в сторону «Bean friendly design»  14

15. Мы вас вычеркиваем • Вышел новый Spring Authorization Server •

    Задепрекейтили ACL, а потом раздепрекейтили ACL • Вышла поддержка OAUTH2 для Rest Client • Сильно обновились возможности SAML • Закрыли кучу багов с CVE(Common Vulnerabilities and Exposures) • Весь Security двигался в сторону «Bean friendly design»  15

16. В сухом остатке •Вышел новый Spring Authorization Server •Вышла поддержка

    OAUTH2 для Rest Client •Обновления для SAML  16

17. Spring Security Architecture Principles by Daniel Garnier-Moiroux  17

18. Про что сегодня поговорим •OAUTH2 и его детали •Вышел новый

    Spring Authorization Server •OAUTH2 для Rest Client в Spring •SAML и OIDC •Отличия SAML и OIDC от OAUTH2  18

19. OAUTH2 и его детали  19

20. OAUTH2 и Сервер авторизации раньше Основные OAUTH2 Flow(GrantTypes) • Authorization

    Code • Client credentials • Refresh Token Implicit и Resource Owner Password более не поддерживаются, @Deprecated или удалены в зависимости от версии Spring  20

21. OAUTH2 и Сервер авторизации теперь Основные OAUTH2 Flow(GrantTypes) • Authorization

    Code • Client credentials • Refresh Token • JWT Bearer • Token Exchange Implicit и Resource Owner Password более не поддерживаются, @Deprecated или удалены в зависимости от версии Spring  21

22. Client credentials  22

23. Authorization Code  23

24. Authorization Code  24

25. Spring Authorization Server  25

26.  26

27.  27

28. Настраиваем Spring Security и Keycloak Amplicode Launch  28

29. • Открытый исходный код  29

30. • Открытый исходный код • Любая логика, которую мы хотим

    заложить  30

31. • Открытый исходный код • Любая логика, которую мы хотим

    заложить • Возможность самим настраивать работу с хранилищем данных и писать свои имплементацию  31

32. • Открытый исходный код • Любая логика, которую мы хотим

    заложить • Возможность самим настраивать работу с хранилищем данных и писать свои имплементацию • Отсутствие необходимости в еще одной лицензии  32

33.  33

34.  34

35.  35

36.  36 Генерит за тебя настройки Spring Security И Spring

    Security Authorization Server

37. А чего? А так и задумано.  37

38.  38

39.  39

40.  40

41. Возвращаемся к Spring Authorization Server  41

42. + + + Authorization Server Engine  42

43.  43

44.  44 Первый свой конфиг укради из документации!!!

45.  45 Первый свой конфиг укради из документации!!!

46.  46 Сам все конфигурирую

47.  47 Первый свой конфиг укради из документации!!!

48.  48 Сделать светлую тему идеи

49.  49

50.  50

51.  51

52. Не читаем доку по слогам Ссылка на документацию к Authorization

    Server  52

53.  53

54. OAUTH2 ключевые участники процесса • Владелец ресурса (Пользователь) — субъект,

    способный предоставить доступ к защищенному ресурсу (например, конечному пользователю). • Сервер ресурсов (API-сервер) — сервер, на котором размещены защищенные ресурсы, способный принимать ответы на запросы защищенных ресурсов с использованием маркеров доступа. • Клиент — приложение, выполняющее запросы к защищенным ресурсам от имени владельца ресурса и с его авторизацией. • Сервер авторизации — сервер, выдающий access token клиенту после успешной аутентификации и авторизации владельца ресурса  54

55. Дока зазвучала по-новому!!!!  55

56. OpenID Connect Open ID Connect - это уточненная спецификация, расширяющая

    OAUTH2. Согласно ее стандартам помимо токена доступа клиент получает еще и некоторый ID Token и Authorization Server для корректной работы должен предоставлять API для запросов дополнительной информации о пользователе и его текущих сессиях.  56

57. OIDC, SAML & SSO  57

58. Поддержка RestClient для OAuth2 в Spring Security 6.4  58

59. Rest Client и OAUTH2 Rest Template Rest Client  59

60. Spring Security 6.4: RestClient Support for OAuth2 by Dan Vega

     60

61.  61 Rest client

62.  62 Сделать светлую тему идеи Rest client

63.  63 Rest client

64.  64 Rest client

65.  65 Rest client

66.  66

67. +  67

68. Чип и Дейл  68

69.  69 Rest client

70. SAML & OIDC VS OAUTH2 SSO(SAML ИЛИ OIDC) - это

    способ аутентифицироваться в приложении. Понять кто перед нами. OAUTH2 - это способ авторизоваться. Понять что можно этому пользователю.  70

71.  71

72. JWT BEARER OAUTH FLOW Documentation  72

73.  73

74. TOKEN EXCHANGE OAUTH EXTENTION Documentation  74

75. Я В ШОКЕ!!! Когда узнал что OIDC и OAUTH2 -

    это еще не все  75

76. Про SSO SSO Павлиашвили  76

77. Авторизация/Аутентификация/ Идентификация Идентификация — процесс, в результате выполнения которого для

    субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе. Мы понимаем кто перед нами.  77

78. Авторизация/Аутентификация/ Идентификация Идентификация — процесс, в результате выполнения которого для

    субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе. Мы понимаем кто перед нами. Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного пароля с паролем из базы данных.  78

79. Авторизация/Аутентификация/ Идентификация Идентификация — процесс, в результате выполнения которого для

    субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе. Мы понимаем кто перед нами. Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного пароля с паролем из базы данных. Авторизация — предоставление определенному лицу или группе лиц прав на выполнение действий. Например, можно ли пользователю выполнять тот или метод контроллера.  79

80. SAML & OIDC VS OAUTH2 SSO(SAML ИЛИ OIDC) - это

    способ аутентифицироваться в приложении. Получить данные пользователя и набор ролей. Авторизацию приложение- ресурс производит самостоятельно. OAUTH2 - это способ авторизоваться (получить токен) для выполнения действия, указав свои данные и действие при обращении к авторизационному серверу, то есть делегированная авторизация. В то время, как ресурсное приложение только выполняет пришедший запрос при условии валидного токена.  80

81. SSO SAML  81

82. SAML VS OIDC = SIGNED XML VS SIGNED JWT 

    82

83. SAML & OIDC  83

84. OAUTH2  84

85.  85

86. SAML & OIDC VS OAUTH2 SSO(SAML ИЛИ OIDC) - это

    способ аутентифицироваться в приложении. Получить данные пользователя и набор ролей. Авторизацию приложение-ресурс производит самостоятельно. OAUTH2 - это способ авторизоваться (получить токен) для выполнения действия, указав свои данные и действие при обращении к авторизационному серверу, то есть делегированная авторизация. В то время, как ресурсное приложение только выполняет пришедший запрос при условии валидного токена.  86

87. Про SSO  87

88. Поддержка SAML 2.0 также значительно улучшена! Поддержка OpenSAML 5 теперь

    доступна.  88 Расшифровываем статью про новинки Spring Security Что нового в Spring Boot 3.4: Spring Security

89. Поддержка SAML 2.0 также значительно улучшена! Поддержка OpenSAML 5 теперь

    доступна. Asserting Parties теперь могут обновляться в фоновом режиме в зависимости от истечения срока действия метаданных.  89 Расшифровываем статью про новинки Spring Security Что нового в Spring Boot 3.4: Spring Security

90. Поддержка SAML 2.0 также значительно улучшена! Поддержка OpenSAML 5 теперь

    доступна. Asserting Parties теперь могут обновляться в фоновом режиме в зависимости от истечения срока действия метаданных. Теперь вы можете подписывать relying party метаданные.  90 Расшифровываем статью про новинки Spring Security Что нового в Spring Boot 3.4: Spring Security

91. Поддержка SAML 2.0 также значительно улучшена! Поддержка OpenSAML 5 теперь

    доступна. Asserting Parties теперь могут обновляться в фоновом режиме в зависимости от истечения срока действия метаданных. Теперь вы можете подписывать relying party метаданные. Чтобы соответствовать стандарту SAML 2.0, конечная точка метаданных теперь использует MIME-type application/samlmetadata+xml.  91 Расшифровываем статью про новинки Spring Security Что нового в Spring Boot 3.4: Spring Security

92. ASSERTING AND RELYING PARTIES IN SAML  92 Spring Application

    Authorization Server

93.  93

94.  94

95.  95

96. Итоги:  96 • Обсудили новинки Spring Security

97. Итоги:  97 • Обсудили новинки Spring Security • Разобрались

    с концепциями OIDC и SAML

98. Итоги:  98 • Обсудили новинки Spring Security • Разобрались

    с концепциями OIDC и SAML • Познакомились с новым Http-клиентом спринта

99. Итоги:  99 • Обсудили новинки Spring Security • Разобрались

    с концепциями OIDC и SAML • Познакомились с новым Http-клиентом спринта • Посмотрели как его настраивать для OAUTH2

100. Итоги:  100 • Обсудили новинки Spring Security • Разобрались

     с концепциями OIDC и SAML • Познакомились с новым Http-клиентом спринта • Посмотрели как его настраивать для OAUTH2 • Обсудили OAUTH2 и его Flows/Grant types поддерживаемые Spring

101.  101