GUJavaSC - Protegendo Microservices em Java
3 gostaram389 visualizações
O documento discute proteção de microserviços em Java, abordando tópicos como OAuth 2.0, JWT e Spring Cloud Security. Ele explica as diferenças entre arquiteturas monolíticas e de microserviços e os desafios de segurança nesse último modelo, e apresenta estratégias como Basic Auth, Certificate Based e OAuth 2.0 para proteger APIs REST. Também demonstra como Spring Cloud e JWT podem ser usados para implementar autenticação e autorização em microsserviços.
GUJavaSC - Protegendo Microservices em Java
- 1. Protegendo Microservices em Java Rodrigo Cândido da Silva @rcandidosilva
- 2. Sobre • JUG Leader do GUJavaSC • http://gujavasc.org • Twitter • @rcandidosilva • Contatos • http://rodrigocandido.me
- 3. Agenda • Microservices • Segurança • Spring Cloud Security • OAuth 2.0 • JWT • Demo
- 6. Microservices • Pequenos • Deployment interdependente • Independente de tecnologia • Infra-estrutura separada "Small independent component with well- defined boundaries that’s doing one thing, but doing it well"
- 8. Principais requisitos de segurança? • Como identificar as permissões que serão manipuladas? • Como a informação será codificada e decodificada? • Quais dados serão necessários para restrição de acesso? • Quem será responsável por armazenar e fornecer os dados de segurança? • Como identificar se a requisição não foi modificada? “Stop bad guys from accessing your resources"
- 9. Segurança com REST • Algumas estratégias para proteger os serviços • Basic Auth (HTTP Basic) • Network Security • Certificate Based • Arquitetura RESTful não define procedimentos de segurança • HTTP methods: GET, POST, PUT, DELETE • API’s REST são tão vulneráveis quanto aplicações web tradicionais • SQL Injection, replay attacks, cross-site scripting, etc
- 10. HTTP Basic Auth • Qual o problema com isto? • Nada, mas… • Em qual lugar você busca as credenciais? • Ok para sistemas onde todos os participantes podem compartilhar dados confidenciais de um modo seguro • Apenas suporta informações de "usuário / senha” • Apenas trabalha com autenticação • Sem distinção entre usuários e máquinas $ curl “https://$username:$password@myhost/resource"
- 11. Network Security • Qual o problema com isto? • Nada, mas… • Chato para "debugar" e um pouco difícil de manter • Configuração fica fora do escopo de desenvolvedores • Não existe o conceito de identidade e autenticação "Security architecture based on top of web server"
- 12. Certificate Based • Qual o problema com isto? • Nada, mas… • Não existe o conceito de identidade, apenas caso o browser tenha os certificados instalados • Obriga keystores e certificados nas aplicações e nos serviços • Não existe uma distinção muito clara quanto a usuários e máquinas $ curl -k -cert file.pem:password https://myhost:443/resource
- 14. Segurança em Microservices • Principais desafios • Ambiente totalmente distribuido • Comportamento stateless • Serviço de segurança centralizado • Propagação do contexto de segurança • Single sign-on • Múltiplos datasources
- 15. Spring BootSpring Cloud Spring Cloud + Netflix OSS
- 16. Spring Cloud Security Discovery Client Relying Party Resource Server Get an access token & an ID Token (JWT) Use an access token Authorization Server Iden.ty Provider or IDP or OpenID Provider or OP Authorization Endpoint Token Endpoint Important Stuff Userinfo Endpoint Registration Endpoint JWKS Endpoint JWKS Endpoint Validate (JWT) ID Token /.well-known /webfinger /openid-configura.on Check Session IFrame End Session Endpoint
- 17. OAuth 2.0 • Protocolo baseado em uma especificação de padrão aberto definido pelo IETF • Habilita as aplicações acessarem e compartilharem serviços sem necessidade de compartilhar credenciais • Evita problemas com "passwords" • Essencial para mecanismo via delegação de acesso • Aplicações terceiras • Para serviços específicos • Por um tempo limitado • Pode trabalhar com revogação seletiva
- 18. OAuth 2.0 Flow
- 19. OAuth 2.0 Grant Types • Authorization Code (web apps) • Confidencialidade aos clientes • Utiliza um código de autorização emitido pelo servidor • Implicit (browser-based and mobile apps) • Script heavy web apps • Usuário final pode ver o access token gerado • Resource Owner Password Credentials (user / password) • Utilizado em casos aonde o usuário confia no cliente • Expõe as credenciais do usuário para o cliente • Client Credentials (application) • Clientes recebem um token (secret) para acesso • Ideal para acesso entre aplicações
- 20. Authorization Server @Configuration @EnableAuthorizationServer public class OAuth2Server extends AuthorizationServerConfigurerAdapter { @Autowired TokenStore tokenStore; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client").secret("secret") .authorizedGrantTypes(“authorization_code", "refresh_token", "password", "implicit", "client_credentials").scopes("openid"); } }
- 21. Resource Server @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableResourceServer public class ResourceServer extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/products/**").authenticated(); } }
- 22. JSON Web Token “Padrão aberto que define uma forma compacta e auto-contida para transmitir de forma segura, informações entre duas partes“
- 23. JWT Configuration @Configuration public class JwtConfig { @Autowired JwtAccessTokenConverter jwtAccessTokenConverter; @Bean @Qualifier("tokenStore") public TokenStore tokenStore() { return new JwtTokenStore(jwtAccessTokenConverter); } @Bean protected JwtAccessTokenConverter jwtTokenEnhancer() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); KeyPair keyPair = new KeyStoreKeyFactory( new ClassPathResource("keystore.jks"), "foobar".toCharArray()).getKeyPair("test"); converter.setKeyPair(keyPair); return converter; } }
- 25. Demo • Segurança com Microservices • https://github.com/rcandidosilva/spring-cloud-sample
- 26. Perguntas ?
- 27. Conclusões… • Segurança é importante, e não deve ser intrusiva • Requisitos de segurança em microservices é complexo • OAuth 2 e JWT oferecem uma boa combinação para implementação de segurança com serviços • Spring Cloud Security fornece uma ótima infra-estrutura para configuração de segurança em uma arquitetura de microservices • Enjoy it ;)
- 28. Referências • https://cloud.spring.io/spring-cloud-security/ • https://oauth.net/2/ • https://jwt.io/ • http://presos.dsyer.com/decks/microservice-security.html • https://github.com/absolutegalaber/jwt-oauth2-example • http://www.baeldung.com/spring-security-oauth-jwt • https://stormpath.com/blog/service-to-service