Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Audits mit Spring Security überleben
Search
Torsten Bøgh Köster
November 08, 2012
Programming
0
190
Security Audits mit Spring Security überleben
Torsten Bøgh Köster
November 08, 2012
Tweet
Share
More Decks by Torsten Bøgh Köster
See All by Torsten Bøgh Köster
LLMs im Griff: Observability, Tracing und Security
tboeghk
0
3
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
tboeghk
0
9
Taking an abandoned Solr search from zero to GenAI hero
tboeghk
0
33
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
tboeghk
0
39
🔪 How we cut our AWS costs in half
tboeghk
0
310
Shared Nothing Logging Infrastructure
tboeghk
0
120
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
1
110
Shared Nothing Logging Infrastructure
tboeghk
0
1.3k
Kubernetes the ❤️ way
tboeghk
0
1.1k
Other Decks in Programming
See All in Programming
Python札幌 LT資料
t3tra
6
980
AIコーディングエージェント(skywork)
kondai24
0
190
Developing static sites with Ruby
okuramasafumi
0
310
SwiftUIで本格音ゲー実装してみた
hypebeans
0
460
認証・認可の基本を学ぼう前編
kouyuume
0
260
Flutter On-device AI로 완성하는 오프라인 앱, 박제창 @DevFest INCHEON 2025
itsmedreamwalker
1
130
AI 駆動開発ライフサイクル(AI-DLC):ソフトウェアエンジニアリングの再構築 / AI-DLC Introduction
kanamasa
10
2.8k
TestingOsaka6_Ozono
o3
0
170
ローターアクトEクラブ アメリカンナイト:川端 柚菜 氏(Japan O.K. ローターアクトEクラブ 会長):2720 Japan O.K. ロータリーEクラブ2025年12月1日卓話
2720japanoke
0
740
GISエンジニアから見たLINKSデータ
nokonoko1203
0
170
開発に寄りそう自動テストの実現
goyoki
2
1.3k
Full-Cycle Reactivity in Angular: SignalStore mit Signal Forms und Resources
manfredsteyer
PRO
0
160
Featured
See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
Producing Creativity
orderedlist
PRO
348
40k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
115
91k
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
23
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
160
Speed Design
sergeychernyshev
33
1.4k
Getting science done with accelerated Python computing platforms
jacobtomlinson
0
73
The World Runs on Bad Software
bkeepers
PRO
72
12k
Deep Space Network (abreviated)
tonyrice
0
19
Skip the Path - Find Your Career Trail
mkilby
0
23
What's in a price? How to price your products and services
michaelherold
246
13k
Discover your Explorer Soul
emna__ayadi
2
1k
Transcript
Security-Audits mit Spring Security überleben Donnerstag, 8. November 12
Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche
Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12
@tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei
einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12
shopping24 internet group Donnerstag, 8. November 12
Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12
2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12
Spring Security Donnerstag, 8. November 12
Das „Swiss Army Knife“ Donnerstag, 8. November 12
Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12
3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich
absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12
Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12
View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring
Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12
Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.
November 12
Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich
‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12
Eine Brücke in die Spring-Welt Donnerstag, 8. November 12
Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12
Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12
... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12
Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12
Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12
... das Killerfeature. Donnerstag, 8. November 12
Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten
ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12
Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression
Donnerstag, 8. November 12
Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12
Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12
... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12
Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,
8. November 12
Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12
spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung
für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12
Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12
Display Everything. Donnerstag, 8. November 12
Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail:
[email protected]
www.s24.com developer.s24.com
Donnerstag, 8. November 12
tboeghk
t3tra
kondai24
okuramasafumi
hypebeans
kouyuume
itsmedreamwalker
kanamasa
o3
2720japanoke
nokonoko1203
goyoki
manfredsteyer
sstephenson
orderedlist
twada
techseoconnect
szymonslowik
sergeychernyshev
jacobtomlinson
bkeepers
tonyrice
mkilby
michaelherold
emna__ayadi
![Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail: [email protected] www.s24.com developer.s24.com](https://files.speakerdeck.com/presentations/509a364decc0de0002035b68/slide_31.jpg){kind=link}