Authorization on Car Storehttps://professor-enoqueleal.github.io/tags/authorization/Recent content in Authorization on Car StoreHugoptFri, 08 May 2026 00:00:00 +0000LAB 10 - Melhorando a protenção do sistema com ROLEshttps://professor-enoqueleal.github.io/posts/laboratorio-10-tsw/Fri, 08 May 2026 00:00:00 +0000https://professor-enoqueleal.github.io/posts/laboratorio-10-tsw/<h2 id="-objetivo">🎯 Objetivo</h2> <p>Neste laboratório vamos substituir a implementação em memória do <strong>UserDetailsService</strong> por uma implementação que carrega usuários e roles do banco de dados usando JPA. Em seguida, veremos como usar anotações de método (<strong>@PreAuthorize</strong>, <strong>@Secured</strong>) nos Controllers da API para restringir o acesso com base nas roles (ex: <strong>ROLE_ADMIN</strong>).</p> <p>Ao final você deverá saber:</p> <ul> <li>Criar entidades JPA para <strong>User</strong> e <strong>Role</strong> e os repositórios correspondentes;</li> <li>Implementar um <strong>UserDetailsService</strong> que carrega dados via JPA;</li> <li>Expor <strong>PasswordEncoder</strong> e configurar o <strong>AuthenticationManager</strong> para usar o <strong>UserDetailsService</strong> JPA;</li> <li>Proteger métodos de controllers com <strong>@PreAuthorize</strong> e <strong>@Secured</strong> e habilitar a segurança por método;</li> <li>Popular dados iniciais (roles e usuários) e testar o acesso.</li> </ul> <h2 id="pré-requisitos">Pré-requisitos</h2> <ul> <li>Ter completado LAB 7 (integração com banco) e LAB 8 (segurança básica);</li> <li>Projeto <strong>carstore-spring-boot</strong> compilando localmente;</li> <li>H2 (ou outro banco) configurado para desenvolvimento (se usou o LAB 7, já está pronto).</li> </ul> <hr> <h2 id="contrato-curto">Contrato (curto)</h2> <ul> <li>Entrada: requests HTTP autenticados com username/password via login tradicional (form) ou através do fluxo já existente;</li> <li>Saída: usuários autenticados vindos do banco com roles atribuídas que definem autorização por método;</li> <li>Erros: usuário não encontrado -&gt; 401; acesso negado -&gt; 403;</li> <li>Critério de sucesso: endpoints anotados com <strong>@PreAuthorize</strong> e <strong>@Secured</strong> aceitam/negam acesso conforme roles inseridas no banco.</li> </ul> <h2 id="panorama-das-alterações-arquivos-chave">Panorama das alterações (arquivos-chave)</h2> <ul> <li>src/main/java/br/com/carstore/model/RoleEntity.java</li> <li>src/main/java/br/com/carstore/model/UserEntity.java</li> <li>src/main/java/br/com/carstore/repository/RoleRepository.java</li> <li>src/main/java/br/com/carstore/repository/UserRepository.java</li> <li>src/main/java/br/com/carstore/service/JpaUserDetailsService.java</li> <li>src/main/java/br/com/carstore/config/SecurityConfig.java (ajustes)</li> <li>src/main/java/br/com/carstore/config/DataInitializer.java (CommandLineRunner para popular dados)</li> <li>Controllers: exemplos com <strong>@PreAuthorize</strong> / <strong>@Secured</strong>.</li> </ul> <blockquote> <p>Observação: muitos projetos já possuem H2 e JPA configurados (veja LAB 7). Se faltar algo em <strong>application.properties</strong>, veja a seção &ldquo;Configuração&rdquo; abaixo.</p>