Module 7 – Sécurité Spring Security + JWT (pédagogique)

Pourquoi sécuriser ?

Sans sécurité :

• N’importe qui peut créer/supprimer
• Risque de fuite de données
• Responsabilités légales

Objectifs :

• Distinguer USER et ADMIN
• Protéger les endpoints sensibles

---

Authentification vs Autorisation

• Authentification = “qui est-ce ?”
• Autorisation = “a-t-il ou a-t-elle le droit ?”

Exemple :

• Sami est connecté (auth)
• Sami a le rôle USER (autorisation)

---

Configuration de base

Dépendance :

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Sans config, Spring bloque tout (401).

---

Stratégie pour Wouaf Wouaf

• Endpoints publics :
  • (option) swagger, health
• Endpoints USER :
  • lister chiens, concours, s’inscrire
• Endpoints ADMIN :
  • créer race, créer concours

---

Exemple de SecurityFilterChain

@Bean
SecurityFilterChain security(HttpSecurity http) throws Exception {
  return http
    .csrf(csrf -> csrf.disable())
    .authorizeHttpRequests(auth -> auth
      .requestMatchers("/actuator/health").permitAll()
      .requestMatchers(HttpMethod.POST, "/api/races/**").hasRole("ADMIN")
      .requestMatchers(HttpMethod.POST, "/api/concours/**").hasRole("ADMIN")
      .anyRequest().authenticated()
    )
    .httpBasic(Customizer.withDefaults()) // d'abord on fait simple
    .build();
}

Pourquoi commencer avec httpBasic ?

• Pour apprendre les concepts sans JWT d’abord
• Pour ensuite remplacer par JWT

---

JWT : pourquoi ?

httpBasic :

• Envoie user/mdp à chaque requête
• Peu adapté à une API moderne

JWT :

• Token signé
• Stateless
• Adapté mobile/SPA

---

Tests de sécurité (à faire)

• anonyme : 401/403
• USER : interdit ADMIN
• ADMIN : autorisé

(voir module tests avancés pour exemples complets)

---

Pièges

• oublier csrf.disable() en API stateless
• mélanger rôles et permissions
• exposer actuator complet en public