Spring-Security on Java & Moihttps://javaetmoi.com/tags/spring-security/Recent content in Spring-Security on Java & MoiHugofrSat, 06 Nov 2021 16:53:05 +0000Configuration Spring Security d’un client de l’API REST Salesforce sécurisée avec OAuth 2.0https://javaetmoi.com/2021/11/configuration-spring-security-dun-client-de-lapi-rest-salesforce-securisee-avec-oauth-2-0/Sat, 06 Nov 2021 16:53:05 +0000https://javaetmoi.com/?p=2138<h2 id="contexte">Contexte</h2> <p>De nos jours, il est courant de devoir <strong>consommer</strong> une <strong>API REST sécurisée</strong> à l’aide du standard <strong>OAuth 2.0</strong> ou de sa surcouche <strong>OpenID Connect</strong> (OIDC). <br>Schématiquement, le consommateur génère un <strong>jeton (token)</strong> opaque ou JWT en appelant un serveur d’autorisation (Authorization server) puis, à chaque appel d’API REST, le transmet en tant que bearer via l’ <strong>en-tête HTTP</strong> <strong>Authorization</strong>. Ce token a souvent une <strong>durée de vie</strong> transmise par le serveur d’autorisation via la propriété <strong>expires_in</strong>.</p> <p>OAuth 2.0 propose quatre cinématiques (flows), la plus commune étant l’Authorization Code Flow. Lorsque l’API REST est appelée depuis une application web, il est courant de voir utiliser le Client Credentials Flow ou le <strong><a href="https://www.oreilly.com/library/view/getting-started-with/9781449317843/ch04.html">Resource</a></strong> <strong><a href="https://www.oreilly.com/library/view/getting-started-with/9781449317843/ch04.html">Owner Password Credentials Flow</a></strong>.</p> <p>Récemment, j’ai été amené à <strong>consommer l’API REST du</strong> <strong>CRM Salesforce</strong> <strong>depuis une application Spring Boot</strong>. Cette API était sécurisée avec le Resource Owner password Credentials Flow. Salesforce joue à la fois le rôle de l’Authorization Server et du Resource Owner. Le client (l’application Spring Boot) transmet ses <strong>credentials</strong> (login et mot de passe) à l’Authorization Server pour obtenir un <strong>Access Token</strong>. <br>Cet article a pour objectif de vous présenter la <strong>configuration Spring Security</strong> mise en œuvre pour appeler cette API. Les extraits de code proviennent du repository GitHub <a href="https://github.com/arey/spring-security-oauth2-salesforce-sample"><strong>arey/spring-security-oauth2-salesforce-sample</strong></a>.</p>Spring Core 4.2 Certification Mock Examhttps://javaetmoi.com/2016/01/spring-core-4-2-certification-mock-exam/Mon, 18 Jan 2016 07:05:32 +0000http://javaetmoi.com/?p=1508<p><figure> <picture> <img loading="lazy" decoding="async" alt="spring-pro-cert" class="image_figure image_internal image_unprocessed" src="https://javaetmoi.com/wp-content/uploads/2016/01/spring-pro-cert.jpg" /> </picture> </figure> Four years ago, I’ve published a first <a href="http://javaetmoi.com/2012/02/core-spring-3-0-certification-mock-exam/">mock exam for the Spring Core 3.0 Certification</a>. Encouraged by Michael and Alan, I’ve updated this <strong>free</strong> <strong>mock exam</strong> for the <a href="http://pivotal.io/academy#certification">Spring Professional certification based on the Spring Core 4.2 course</a>.</p> <p>According to the <a href="wp-content/uploads/2016/01/Core-Spring-4.2-Certification-Study-Guide.pdf">Core Spring 4.2 Certification Study Guide</a>, 3 new topics have been added to the <strong>Spring Core 4.2 mock exam</strong>: <strong>REST</strong>, <strong>Microservices</strong> and <strong>Spring Cloud</strong>. They replace older topics: JMX, JMS and Remoting.</p> <p><figure> <picture> <img loading="lazy" decoding="async" alt="spring-pro-cert" class="image_figure image_internal image_unprocessed" src="https://javaetmoi.com/wp-content/uploads/2016/01/spring-pro-cert.jpg" /> </picture> </figure> </p>Configurez Spring en Javahttps://javaetmoi.com/2014/06/spring-framework-java-configuration/Mon, 16 Jun 2014 05:07:42 +0000http://javaetmoi.com/?p=1122Dans ce billet, nous verrons comment <strong>configurer en Java</strong> le <strong>contexte Spring</strong> d’une application basée sur <strong>Spring MVC</strong>, <strong>Spring Security</strong>, <strong>Spring Data JPA</strong> et <strong>Hibernate</strong>, et cela sans utiliser la moindre ligne de XML.<br>Personnellement, je n’ai rien contre la <strong>syntaxe XML</strong> à laquelle j’étais habitué. D’autant la <strong>verbosité</strong> de la configuration avait considérablement diminué grâce à l’introduction des <strong>namespaces XML</strong> et des <strong>annotations</strong>. Avant d’utiliser la syntaxe Java sur une application d’entreprise, j’étais même sceptique quant aux gains qu’elle pouvait apporter. Aujourd’hui, je comprends mieux son intérêt et pourquoi les projets du portfolio Spring tels <a href="http://spring.io/blog/2014/04/30/spring-integration-4-0-released">Spring Integration 4.0</a>, <a href="#ZgotmplZ">Spring Web Service 2.2</a> ou bien <a href="http://spring.io/blog/2013/07/03/spring-security-java-config-preview-web-security">Spring Security 3.2</a> proposent dans leur dernière version un niveau de configuration Java iso-fonctionnel avec leur équivalent XML. Sans compter que le support de la configuration Java leur ouvre la porte d’une intégration plus poussée à <a href="http://projects.spring.io/spring-boot/"><strong>Spring Boot</strong></a>, le nouveau fer de lance de Pivotal.<br>