Curso Spring Security

Spring Security es el framework oficial de seguridad del ecosistema Spring y el estándar de facto para proteger aplicaciones Java empresariales. Ofrece un sistema completo de autenticación y autorización que se integra con Spring Boot mediante autoconfiguración y una cadena de filtros HTTP extensible.

El proyecto arranca en 2003 como Acegi Security y pasa a formar parte del ecosistema Spring en 2007. Desde entonces, acompaña la evolución de los estándares de seguridad: contraseñas con hashing moderno, OAuth 2.0, OpenID Connect, JWT, Passkeys basadas en WebAuthn y protección frente a ataques como CSRF, XSS o clickjacking.

Qué incluye este itinerario

El curso cubre los tres pilares habituales de Spring Security:

• Autenticación: cómo se identifica un usuario frente a la aplicación (formularios, HTTP Basic, JWT, OAuth2, Passkeys, One-Time Token).
• Autorización: cómo se decide qué recursos puede acceder cada usuario (URL, método, SpEL, dominios, roles y autoridades).
• Protección frente a exploits: CSRF, CORS, cabeceras HTTP, Content Security Policy, gestión de sesiones y eventos de auditoría.

Se estudian tanto aplicaciones Spring MVC con Thymeleaf como APIs REST stateless con JWT y clientes OAuth2 frente a proveedores externos (GitHub, Google). Se dedica un bloque completo al Resource Server y al Spring Authorization Server para implementar flujos OAuth2 profesionales sin depender de Keycloak u otros servidores externos.

Público objetivo

Este curso está diseñado para:

• Desarrolladores Java / Spring Boot que ya dominan los fundamentos del framework y necesitan proteger sus aplicaciones de forma rigurosa.
• Ingenieros de backend responsables de implementar flujos de login, registro, sesiones, OAuth2 o SSO en proyectos empresariales.
• Arquitectos de software que definen políticas de seguridad para microservicios o APIs.
• Equipos que migran de Spring Security 5.x a las versiones modernas (6.x y 7.x) con la nueva API basada en SecurityFilterChain.

Se recomienda tener conocimientos previos de Spring Boot, Spring MVC, Spring Data JPA y, para los módulos avanzados, fundamentos de OAuth2 y JWT.

Versiones de referencia

El contenido está alineado con Spring Security 7.x sobre Spring Boot 3.3+ / 4.x y Java 21 LTS. Se marcan de forma explícita los patrones legacy (WebSecurityConfigurerAdapter, antMatchers, authorizeRequests) para facilitar la migración de proyectos antiguos.