Suche
Interview mit Andreas Falk

„Spring Security geht in Sachen Sicherheit weit über die Grundfunktionalität von Java EE hinaus“

Dominik Mohilo

Andreas Falk

Die Veröffentlichung von Spring 5 liegt keine Woche zurück, da steht auch Spring Security 5.0 in den Startlöchern: Der vierte Meilenstein liegt aktuell zum Testen bereit. Wir haben uns mit Andreas Falk, Managing Consultant bei der NovaTec Consulting GmbH und OWASP-Mitglied, über die Sicherheit von Enterprise-Anwendungen und seine liebsten Features von Spring 5 unterhalten. Zudem gab er einen kurzen Einblick in die Unterschiede zwischen Java EE (EE4J) und Spring im Hinblick auf den Security-Aspekt.

JAXenter: Hallo Andreas und danke, dass du dir die Zeit genommen hast. Das lang erwartete Spring 5 ist nun endlich veröffentlicht worden. Auf die Nutzung welcher Features freust du dich besonders?

Andreas Falk: Ich freue mich vor allem auf den neuen reaktiven Web-Stack. Dabei habe ich mir vorgenommen, diesen zusammen mit Kotlin demnächst genauer auszuprobieren, um einschätzen zu können, für welche Projektanforderungen der reaktive Ansatz besser taugt als der bisherige blockierende.

JAXenter: Welche Funktionen hättest du gerne gesehen, die diesmal nicht im Framework enthalten sind?

Andreas Falk: Beim Core Spring Framework fällt mir da jetzt direkt nichts ein. Alle aktuell wichtigen Themen wie reaktive Programmierung, Unterstützung von Java 9, JUnit 5 und Servlet API 4 mit Http/2 sowie sinnvolle Extensions für Kotlin sind ja enthalten. Ich warte eher ungeduldig auf die dazu gehörigen finalen Versionen von Spring Boot 2.0 und Spring Cloud. Vorher macht ein Umstieg auf Spring 5 in meinen Projekten noch keinen Sinn.

JAXenter: Spring Security 5 steht ja auch in den Startlöchern, in welcher Hinsicht wird dieses Update die Sicherheit von Spring-Anwendungen erhöhen?

Andreas Falk: Hervorzuheben ist hier vor allem die Integration der Client-seitigen Unterstützung von OAuth2 und OpenID Connect direkt in Spring Security 5. Bisher wurde nur OAuth2 unterstützt, welches normalerweise für die Authentifizierung in Unternehmensanwendungen nicht ausreichend ist. Auch bezüglich der Konfiguration wurde hier viel optimiert und häufige Fehlerquellen wurden für den Entwickler minimiert.

Sicher in die Cloud mit Angular und Spring
 
Single-Page-Anwendungen auf Basis von Angular in Kombination mit Spring Boot Microservices sind aktuell sehr beliebt. Im Zeitalter der Cloud und mithilfe von Praktiken wie Continuous Delivery sind sie auch schnell in Produktion gebracht. Doch wie steht es um die Sicherheit derartiger Anwendungen? In seinem Fachartikel mit dem Titel „Sicher in die Cloud mit Angular und Spring“, geht Andreas Falk dieser Frage auf den Grund

Hier geht es zum Artikel

JAXenter: Auf was sollten Entwickler in Bezug auf die Sicherheit von Spring-Anwendungen immer achten? Gibt es Best Practices?

Andreas Falk: Die automatische Konfiguration von Spring Security in Kombination mit Spring Boot bietet hier bereits einen guten Grundschutz. Als Entwickler sollte man aber immer genau darauf schauen, wenn man in einzelnen Punkten von dieser Konfiguration abweicht. Darüber hinaus ist das Open Web Application Security Project (OWASP) mit seinen Cheat Sheets und den ProActive Controls für Entwickler immer eine gute Quelle für Best Practices.

JAXenter: Mal aus der Sicherheitsperspektive betrachtet: Welche unterschiedlichen Sicherheitsansätze gibt es bei Spring im Vergleich zu Java EE (EE4J) – wo ist das Konkurrenzprodukt besser?

Andreas Falk: Im Vergleich zu Java EE gehen Frameworks wie Spring Security oder auch Apache Shiro weit über dessen Grundfunktionalität hinaus. Standards wie OAuth2 oder OpenID Connect sucht man in den bisherigen Versionen von Java EE vergebens. Es ist abzuwarten, wie sich dies mit der neuen Java EE Security API (JSR 375) weiterentwickelt. Bis diese jedoch in den neuen Implementierungen der gängigen Applikationsserver angekommen ist, muss man gerade in der Microservices-Welt weiter auf Produkte wie Spring Security zurück greifen.

JAXenter: Danke für das Interview!

Andreas Falk arbeitet als Managing Consultant bei der NovaTec Consulting GmbH. Neben der Entwicklung von Unternehmensanwendungen auf Basis der Spring-Plattform oder mit Java EE beschäftigt er sich als OWASP-Mitglied außerdem mit der Anwendungssicherheit. Twitter: @andifalk
 
Geschrieben von
Dominik Mohilo
Dominik Mohilo
Dominik Mohilo studierte Germanistik und Soziologie an der Goethe-Universität in Frankfurt. Seit 2015 ist er Redakteur bei S&S-Media.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.