Solucionado (ver solução)
Solucionado
(ver solução)
5
respostas

autenticarCliente(token)

Referente ao curso Spring Boot API Rest: Segurança da API, Cache e Monitoramento, no capítulo Autenticação via JWT e atividade Autenticando o cliente via Spring Security

por DIRLEY FIGUEIREDO PINTO
| 165.1k xp | 68 posts
Analista de Sistemas Senior

1) O método autenticarCliente(token) poderia ficar em TokenService? Assim não precisaria injetar mais um objeto no SecurityConfiguration.

2) Em meu código previ a inexistência do usuário. Neste caso, como eu não vou setar o token, a requisição irá retornar um 403 ou tenho que retornar um boolean e tratar no filter?

public void autenticarCliente(String token) {
          Long idUsuario = tokenService.getIdUsuario(token);
          Optional<Usuario> usuario = repoUsuario.findById(idUsuario);
          if(usuario.IsPresent()) {
              UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(Usuario, null, usuario.get().getAuthorities());
              SecurityContextHolder.getContext().setAuthentication(authentication);
          }
     }
5 respostas
por Rodrigo da Silva Ferreira Caneppele
| 4492.8k xp | 7727 posts
Instrutor Instrutor

Oi Dirley,

1) Eu não acho legal colocar o método autenticarCliente na classe TokenService, pois o objetivo dela deveria ser apenas a geração/validação de tokens e não a parte de autenticação em si no Spring Security.

2) Isso significa que sua api é totalmente pública e não existe autenticação/autorização nela? Nesse caso basta dar permitAll em todas as urls e não precisa da geração de tokens.

Bons estudos!

por DIRLEY FIGUEIREDO PINTO
| 165.1k xp | 68 posts
Analista de Sistemas Senior

2) Não, Rodrigo. Entre o login e a expiração do Token, o usuário foi bloqueado ou até excluído (improvável), mas pode ocorrer. Neste caso, tal usuário deixaria de existir.

solução!
por Rodrigo da Silva Ferreira Caneppele
| 4492.8k xp | 7727 posts
Instrutor Instrutor

Ah sim,

Nesse caso o token precisaria ser marcado como inválido no momento que o usuário for bloqueado.

Mas a lib que usamos no curso não suporta tal funcionalidade. Você vai precisar implementar uma lógica que controla quais tokens estão inválidos e bloquear as requisições que chegarem utilizando algum deles.

Ou então utilizar algum protocolo mais "avançado", como o OAuth, cujo o Spring tem um módulo para integração.

Bons estudos!

por DIRLEY FIGUEIREDO PINTO
| 165.1k xp | 68 posts
Analista de Sistemas Senior

Existe algum curso recente de OAuth no alura?

por Rodrigo da Silva Ferreira Caneppele
| 4492.8k xp | 7727 posts
Instrutor Instrutor

Infelizmente curso específico de OAuth ainda não temos.

Quer mergulhar em tecnologia e aprendizagem?

Receba a newsletter que o nosso CEO escreve pessoalmente, com insights do mercado de trabalho, ciência e desenvolvimento de software