Existe algum curso aqui no alura ou até indicação de algum material que fale, explique ou exemplifique segurança em aplicações RESTs?
Eu estou em um projeto Angular + JavaEE onde preciso proteger não só meus recursos como também algumas páginas e estou perdido enquanto segurança. Fiz os cursos de Angular(1 e 2) aqui do alura e isso não é abordado.
Me indicaram utilizar o Keycloak da RedHat, já li bastante da documentação e fiz o exemplo quickstart que eles disponibilizam, mas ainda não fiz com uma aplicação Angular e integrar com os recursos feitos em JavaEE e não peguei a ideia direito ainda.
Pesquise sobre stateless authentication, vai encontrar bastante coisa.
Tem alguma sugestão de um framework, pra eu já ir direcionando meus estudos?
Isso é o de menos. Aprende a teoria primeiro. Depois a ferramenta vai ser irrelevante.
Eu não uso framework nenhum, só fico trocando token entre cliente e servidor.
Eu já li um pouco sobre o Protocolo OAuth.
Gosto de framework porque numa equipe, entregar uma documentação feita por alguma empresa especializada é bem melhor do que ter que explicar tudo ou eu mesmo criar uma documentação.
Cara… fazer na mão é mais fácil que usar OAuth na boa… trocar token é mais fácil na minha humilde opinião…
Usar JWT por exemplo? agora, onde que esses tokens são mantidos? no banco?
O token é gerado por requisição e armazenado em cache e tudo é transmitido via http perderia um pouco no quesito segurança se fosse armazenado em banco. Não conheço o JWT em especifico, mas acredito que ele use o mesmo processo de “fazer na mão” via http.
O servidor recebe uma requisição do cliente com os dados de login com as info no cabeçalho http, o servidor gera um token pra essa requisição e responde já com esse numero de autorização, e partir dai todas as requisições desta sessão deverão ser feitas com esse token no cabecalho que ele enviou pro cliente, quando a sessão deste cliente cair o token é excluido do cache… Claro que existe muito mais neste assunto mas a ideia eh por aí
