Spring Security completo

Este roadmap está dirigido a:

• Desarrolladores Java / Spring Boot con fundamentos sólidos del framework que necesitan proteger aplicaciones empresariales.
• Ingenieros de backend responsables de flujos de login, registro, sesiones, OAuth2 o SSO.
• Arquitectos de software que definen políticas de seguridad para microservicios o APIs.
• Equipos que migran de Spring Security 5.x a las versiones modernas basadas en SecurityFilterChain.

Se recomienda haber completado previamente un curso de Spring Boot que cubra Spring MVC, Spring Data JPA y testing básico.

Fundamentos de Spring Security

• Arquitectura del framework y cadena de filtros SecurityFilterChain.
• SecurityContextHolder, Authentication y GrantedAuthority.
• AuthenticationManager, AuthenticationProvider y UserDetailsService.
• Codificadores de contraseñas modernos: BCrypt, Argon2, PBKDF2, scrypt.

Autenticación y gestión de usuarios

• Registro de usuarios con validación y hash de contraseñas.
• UserDetailsService con JDBC y JdbcUserDetailsManager.
• Remember Me con tokens persistentes.
• One-Time Token para flujos sin contraseña.
• Passkeys y autenticación WebAuthn / FIDO2.

Spring Security en Web MVC

• Configuración sobre Spring MVC y Thymeleaf.
• Sessión management: fixation, concurrencia y timeouts.
• Logout personalizado con limpieza de cookies y sesión.
• CSRF en profundidad: tokens, cookies y SPA.
• Cabeceras HTTP de seguridad: HSTS, X-Frame-Options, Referrer-Policy.

API REST con JWT

• Filtro JWT y validación de tokens con JJWT 0.12.
• Refresh tokens con rotación y revocación.
• Claims personalizados para roles, tenants y scopes.
• Política STATELESS y manejo de errores con AuthenticationEntryPoint.

OAuth2 y OpenID Connect

• Conceptos de OAuth 2.1 y OpenID Connect.
• OAuth2 Client: integración con GitHub y Google.
• Resource Server con validación JWT y opaque token introspection.
• Spring Authorization Server para emitir tokens propios.

Autorización

• authorizeHttpRequests y requestMatchers.
• AuthorizationManager personalizado.
• Anotaciones de método: @PreAuthorize, @PostAuthorize, @PreFilter, @PostFilter.
• Spring Expressión Language (SpEL) aplicado a objetos de dominio.

Temas avanzados y testing

• Eventos de seguridad con AuthenticationEventPublisher.
• Content Security Policy y mitigación de XSS.
• Testing con @WithMockUser, MockJwt y Testcontainers.
• Proyecto final integrador.

Al completar este roadmap, serás capaz de:

• Diseñar políticas de seguridad completas para aplicaciones Web MVC y API REST.
• Implementar autenticación basada en formulario, JWT, OAuth2 y Passkeys.
• Configurar OAuth2 Client, Resource Server y Authorization Server.
• Aplicar autorización granular con authorizeHttpRequests, SpEL y anotaciones.
• Proteger la aplicación frente a CSRF, XSS, clickjacking y sessión fixation.
• Testear la capa de seguridad con @WithMockUser, MockJwt y Testcontainers.
• Migrar configuraciones legacy de WebSecurityConfigurerAdapter al modelo SecurityFilterChain.