Transferir como PDF, PPTX
Carregado porRodrigo Cândido da Silva
GUJavaSC - Protegendo Microservices em Java
O documento discute proteção de microserviços em Java, abordando tópicos como OAuth 2.0, JWT e Spring Cloud Security. Ele explica as diferenças entre arquiteturas monolíticas e de microserviços e os desafios de segurança nesse último modelo, e apresenta estratégias como Basic Auth, Certificate Based e OAuth 2.0 para proteger APIs REST. Também demonstra como Spring Cloud e JWT podem ser usados para implementar autenticação e autorização em microsserviços.
Mais conteúdo relacionado
Semelhante a GUJavaSC - Protegendo Microservices em Java
![[DTC21] Thiago Henrique - Microsserviços do Mundo Real](https://cdn.slidesharecdn.com/ss_thumbnails/microservices-210317154041-thumbnail.jpg?width=640&height=640&fit=bounds)
GUJavaSC - Protegendo Microservices em Java
- 1. Protegendo Microservices emJava Rodrigo Cândido da Silva @rcandidosilva
- 2. Sobre • JUG Leaderdo GUJavaSC • http://gujavasc.org • Twitter • @rcandidosilva • Contatos • http://rodrigocandido.me
- 3. Agenda • Microservices • Segurança •Spring Cloud Security • OAuth 2.0 • JWT • Demo
- 4.
- 5.
- 6. Microservices • Pequenos • Deploymentinterdependente • Independente de tecnologia • Infra-estrutura separada "Small independent component with well- defined boundaries that’s doing one thing, but doing it well"
- 7.
- 8. Principais requisitos desegurança? • Como identificar as permissões que serão manipuladas? • Como a informação será codificada e decodificada? • Quais dados serão necessários para restrição de acesso? • Quem será responsável por armazenar e fornecer os dados de segurança? • Como identificar se a requisição não foi modificada? “Stop bad guys from accessing your resources"
- 9. Segurança com REST •Algumas estratégias para proteger os serviços • Basic Auth (HTTP Basic) • Network Security • Certificate Based • Arquitetura RESTful não define procedimentos de segurança • HTTP methods: GET, POST, PUT, DELETE • API’s REST são tão vulneráveis quanto aplicações web tradicionais • SQL Injection, replay attacks, cross-site scripting, etc
- 10. HTTP Basic Auth •Qual o problema com isto? • Nada, mas… • Em qual lugar você busca as credenciais? • Ok para sistemas onde todos os participantes podem compartilhar dados confidenciais de um modo seguro • Apenas suporta informações de "usuário / senha” • Apenas trabalha com autenticação • Sem distinção entre usuários e máquinas $ curl “https://$username:$password@myhost/resource"
- 11. Network Security • Qualo problema com isto? • Nada, mas… • Chato para "debugar" e um pouco difícil de manter • Configuração fica fora do escopo de desenvolvedores • Não existe o conceito de identidade e autenticação "Security architecture based on top of web server"
- 12. Certificate Based • Qualo problema com isto? • Nada, mas… • Não existe o conceito de identidade, apenas caso o browser tenha os certificados instalados • Obriga keystores e certificados nas aplicações e nos serviços • Não existe uma distinção muito clara quanto a usuários e máquinas $ curl -k -cert file.pem:password https://myhost:443/resource
- 13.
- 14. Segurança em Microservices •Principais desafios • Ambiente totalmente distribuido • Comportamento stateless • Serviço de segurança centralizado • Propagação do contexto de segurança • Single sign-on • Múltiplos datasources
- 15. Spring BootSpring Cloud SpringCloud + Netflix OSS
- 16. Spring Cloud Security Discovery Client RelyingParty Resource Server Get an access token & an ID Token (JWT) Use an access token Authorization Server Iden.ty Provider or IDP or OpenID Provider or OP Authorization Endpoint Token Endpoint Important Stuff Userinfo Endpoint Registration Endpoint JWKS Endpoint JWKS Endpoint Validate (JWT) ID Token /.well-known /webfinger /openid-configura.on Check Session IFrame End Session Endpoint
- 17. OAuth 2.0 • Protocolobaseado em uma especificação de padrão aberto definido pelo IETF • Habilita as aplicações acessarem e compartilharem serviços sem necessidade de compartilhar credenciais • Evita problemas com "passwords" • Essencial para mecanismo via delegação de acesso • Aplicações terceiras • Para serviços específicos • Por um tempo limitado • Pode trabalhar com revogação seletiva
- 18.
- 19. OAuth 2.0 GrantTypes • Authorization Code (web apps) • Confidencialidade aos clientes • Utiliza um código de autorização emitido pelo servidor • Implicit (browser-based and mobile apps) • Script heavy web apps • Usuário final pode ver o access token gerado • Resource Owner Password Credentials (user / password) • Utilizado em casos aonde o usuário confia no cliente • Expõe as credenciais do usuário para o cliente • Client Credentials (application) • Clientes recebem um token (secret) para acesso • Ideal para acesso entre aplicações
- 20. Authorization Server @Configuration @EnableAuthorizationServer public classOAuth2Server extends AuthorizationServerConfigurerAdapter { @Autowired TokenStore tokenStore; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client").secret("secret") .authorizedGrantTypes(“authorization_code", "refresh_token", "password", "implicit", "client_credentials").scopes("openid"); } }
- 21. Resource Server @Configuration @EnableGlobalMethodSecurity(prePostEnabled =true) @EnableResourceServer public class ResourceServer extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/products/**").authenticated(); } }
- 22. JSON Web Token “Padrãoaberto que define uma forma compacta e auto-contida para transmitir de forma segura, informações entre duas partes“
- 23. JWT Configuration @Configuration public classJwtConfig { @Autowired JwtAccessTokenConverter jwtAccessTokenConverter; @Bean @Qualifier("tokenStore") public TokenStore tokenStore() { return new JwtTokenStore(jwtAccessTokenConverter); } @Bean protected JwtAccessTokenConverter jwtTokenEnhancer() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); KeyPair keyPair = new KeyStoreKeyFactory( new ClassPathResource("keystore.jks"), "foobar".toCharArray()).getKeyPair("test"); converter.setKeyPair(keyPair); return converter; } }
- 24.
- 25. Demo • Segurança comMicroservices • https://github.com/rcandidosilva/spring-cloud-sample
- 26.
- 27. Conclusões… • Segurança éimportante, e não deve ser intrusiva • Requisitos de segurança em microservices é complexo • OAuth 2 e JWT oferecem uma boa combinação para implementação de segurança com serviços • Spring Cloud Security fornece uma ótima infra-estrutura para configuração de segurança em uma arquitetura de microservices • Enjoy it ;)
- 28. Referências • https://cloud.spring.io/spring-cloud-security/ • https://oauth.net/2/ •https://jwt.io/ • http://presos.dsyer.com/decks/microservice-security.html • https://github.com/absolutegalaber/jwt-oauth2-example • http://www.baeldung.com/spring-security-oauth-jwt • https://stormpath.com/blog/service-to-service
- 29.