Curso Spring Security

Spring Security es el estándar de facto para proteger aplicaciones Java empresariales en banca, fintech, ehealth, telco, sector público y ecommerce. Cubre autenticación, autorización y protección frente a los ataques del OWASP Top 10 mediante una cadena de filtros HTTP extensible que se integra con Spring Boot sin configuración manual. Equipos de consultoras IT lo utilizan como base común para imponer políticas de seguridad homogéneas en carteras de microservicios y APIs REST, cumpliendo requisitos regulatorios como PSD2/PSD3, eIDAS2, DORA, GDPR o el Esquema Nacional de Seguridad.

El proyecto arranca en 2003 como Acegi Security y se integra en el ecosistema Spring en 2007. Desde entonces ha ido incorporando cada estándar relevante: hashing moderno de contraseñas (BCrypt, Argon2), OAuth 2.0 y OpenID Connect, JWT firmados y refresh tokens, Passkeys basadas en WebAuthn, mTLS, SAML 2.0 y CSP/Trusted Types. Las versiones 6.4 y 7 son las líneas vigentes en 2026, alineadas con Spring Boot 3.5/4 y Java LTS reciente.

Qué incluye este itinerario

El curso cubre los tres pilares habituales de Spring Security:

• Autenticación: cómo se identifica un usuario frente a la aplicación (formularios, HTTP Basic, JWT, OAuth2, Passkeys, One-Time Token).
• Autorización: cómo se decide qué recursos puede acceder cada usuario (URL, método, SpEL, dominios, roles y autoridades).
• Protección frente a exploits: CSRF, CORS, cabeceras HTTP, Content Security Policy, gestión de sesiones y eventos de auditoría.

Se estudian tanto aplicaciones Spring MVC con Thymeleaf como APIs REST stateless con JWT y clientes OAuth2 frente a proveedores externos (GitHub, Google). Se dedica un bloque completo al Resource Server y al Spring Authorization Server para implementar flujos OAuth2 profesionales sin depender de Keycloak u otros servidores externos.

Público objetivo

Este curso está diseñado para:

• Desarrolladores Java / Spring Boot que ya dominan los fundamentos del framework y necesitan proteger sus aplicaciones de forma rigurosa.
• Ingenieros de backend responsables de implementar flujos de login, registro, sesiones, OAuth2 o SSO en proyectos empresariales.
• Arquitectos de software que definen políticas de seguridad para microservicios o APIs.
• Equipos que migran de Spring Security 5.x a las versiones modernas (6.x y 7.x) con la nueva API basada en SecurityFilterChain.

Se recomienda tener conocimientos previos de Spring Boot, Spring MVC, Spring Data JPA y, para los módulos avanzados, fundamentos de OAuth2 y JWT.

Versiones de referencia

El contenido está alineado con las versiones modernas de Spring Security sobre Spring Boot y Java LTS reciente. Se marcan de forma explícita los patrones legacy (WebSecurityConfigurerAdapter, antMatchers, authorizeRequests) para facilitar la migración de proyectos antiguos.