Dans le cadre du projet sur lequel je travaille en ce moment j’ai dû mettre en place le framework Spring Security. Le niveau de sécurité élevé demandé par notre client nécessitait une authentification par certificat signé en SHA-256. Je vais donc vous expliquer comment mettre en place Spring Security sur un projet maven et comment configurer une authentification par certificat.

Présentation de Spring Security

Spring Security est un framework d’authentification et de contrôle d’accès.
C’est est un sous-projet de Spring, il a été lancé en 2003 sous le nom d’Acegi Secuirty. En 2007 il sera renommé Spring Security. C’est l’un des projets les plus avancés de Spring.
Liste des projets Spring : http://www.springsource.org/projects

Ce besoin est assez courant dans le développement d'applications : les utilisateurs sont présents dans un annuaire général, et c'est à chaque application de gérer ses droits d'accès. La documentation de Spring Security explique bien le fonctionnement général du framework, mais décrit principalement les cas nominaux que sont le "tout LDAP" et le "tout BDD". Je vais montrer ici les quelques points de configuration nécessaires afin de mélanger ces deux aspects.