Sécurité

Protégez votre application contre les vulnérabilités et les attaques avec des pratiques de sécurité robustes.

La sécurité n’est pas optionnelle ! Une faille de sécurité peut compromettre toute votre application.

Les 3 Piliers de la Sécurité

🛡️ Validation

Validation des Entrées

Ne jamais faire confiance aux données utilisateur !

Principe : Valider toutes les entrées avant de les traiter.

Couche	Responsabilité	Validation
Infrastructure	Validation format HTTP	`@NotBlank`, `@Size`, `@Pattern`
Application	Validation règles métier	Use case vérifie la logique
Domain	Invariants métier	Constructeurs des Value Objects

Exemple complet :


// 1. Infrastructure : Validation format
@Controller("/api/users")
public class UserController {
 
    @Post
    public UserResponse createUser(
        @Body @Valid UserRequest request  // ← @Valid déclenche la validation
    ) {
        // Si validation échoue, 400 Bad Request automatique
    }
}
 
// 2. DTO avec annotations de validation
@Data
public class UserRequest {
    @NotBlank(message = "Email cannot be empty")
    @Email(message = "Email must be valid")
    private String email;
 
    @NotBlank(message = "Password cannot be empty")
    @Size(min = 8, max = 100, message = "Password must be 8-100 characters")
    @Pattern(
        regexp = "^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d).*$",
        message = "Password must contain lowercase, uppercase and digit"
    )
    private String password;
}
 
// 3. Domain : Value Object avec validation métier
@Value
public class Email {
    String value;
 
    public Email(String value) {
        if (value == null || !value.matches("^[A-Za-z0-9+_.-]+@(.+)$")) {
            throw new IllegalArgumentException("Invalid email format");
        }
        if (isDisposableEmail(value)) {
            throw new IllegalArgumentException("Disposable emails are not allowed");
        }
        this.value = value.toLowerCase();
    }
 
    private boolean isDisposableEmail(String email) {
        // Logique métier : bloquer les emails jetables
        return email.endsWith("@tempmail.com");
    }
}

Avantages :

✅ Validation en couches (défense en profondeur)
✅ Erreurs claires pour l’utilisateur
✅ Impossible de créer des objets invalides

🧹 Sanitization

Sanitization (Nettoyage)

Attention aux injections SQL, XSS, Command Injection !

Principe : Nettoyer les données avant de les utiliser.

1. Injection SQL


// ❌ DANGEREUX : Injection SQL possible
@Singleton
public class UserRepository {
    public User findByEmail(String email) {
        String query = "SELECT * FROM users WHERE email = '" + email + "'";
        // Si email = "'; DROP TABLE users; --"
        // Query devient : SELECT * FROM users WHERE email = ''; DROP TABLE users; --'
        return jdbcTemplate.queryForObject(query, User.class);
    }
}


// ✅ SÉCURISÉ : Paramètres préparés
@Singleton
public class UserRepository {
    public User findByEmail(String email) {
        String query = "SELECT * FROM users WHERE email = ?";
        return jdbcTemplate.queryForObject(query, User.class, email);
        // Email est automatiquement échappé
    }
}

2. Cross-Site Scripting (XSS)


// ❌ DANGEREUX : XSS possible
@Controller
public class CommentController {
    @Post
    public String addComment(@Body String comment) {
        // Si comment = "<script>alert('XSS')</script>"
        return "<div>" + comment + "</div>";  // ❌ Script exécuté !
    }
}


// ✅ SÉCURISÉ : Échapper le HTML
@Controller
@RequiredArgsConstructor
public class CommentController {
    private final HtmlUtils htmlUtils;
 
    @Post
    public String addComment(@Body String comment) {
        String sanitized = htmlUtils.htmlEscape(comment);
        return "<div>" + sanitized + "</div>";
        // <script> devient &lt;script&gt; (affiché, pas exécuté)
    }
}

3. Command Injection


// ❌ DANGEREUX : Command injection
@Controller
public class FileController {
    @Get("/download")
    public File download(@QueryValue String filename) {
        Runtime.getRuntime().exec("cat " + filename);
        // Si filename = "file.txt; rm -rf /"
        // Commande devient : cat file.txt; rm -rf /
    }
}


// ✅ SÉCURISÉ : Valider et sanitizer le chemin
@Controller
public class FileController {
    @Get("/download")
    public File download(@QueryValue @Pattern(regexp = "^[a-zA-Z0-9._-]+$") String filename) {
        // Validation : seulement caractères alphanumériques + . _ -
        Path path = Paths.get("/safe/directory", filename).normalize();
 
        // Vérifier que le fichier est bien dans le dossier autorisé
        if (!path.startsWith("/safe/directory")) {
            throw new SecurityException("Path traversal detected");
        }
 
        return path.toFile();
    }
}

🔐 Authentication

Authentication & Authorization

Authentication = Qui êtes-vous ? (login/password, JWT, OAuth)
Authorization = Que pouvez-vous faire ? (roles, permissions)

Micronaut Security


<!-- pom.xml -->
<dependency>
    <groupId>io.micronaut.security</groupId>
    <artifactId>micronaut-security-jwt</artifactId>
</dependency>


# application.yml
micronaut:
  security:
    authentication: bearer
    token:
      jwt:
        signatures:
          secret:
            generator:
              secret: "${JWT_SECRET:changeme}"

Exemple : JWT Authentication


// 1. Login endpoint
@Controller("/api/auth")
public class AuthController {
 
    @Inject
    TokenGenerator tokenGenerator;
 
    @Post("/login")
    public HttpResponse<TokenResponse> login(@Body LoginRequest request) {
        // Vérifier email/password (hashé avec BCrypt)
        if (!isValidCredentials(request.email(), request.password())) {
            return HttpResponse.unauthorized();
        }
 
        // Générer JWT
        String token = tokenGenerator.generateToken(Map.of(
            "sub", request.email(),
            "roles", List.of("USER")
        ));
 
        return HttpResponse.ok(new TokenResponse(token));
    }
 
    private boolean isValidCredentials(String email, String password) {
        // Récupérer l'utilisateur depuis la BDD
        User user = userRepository.findByEmail(email)
            .orElse(null);
 
        if (user == null) {
            return false;
        }
 
        // Vérifier le password hashé avec BCrypt
        return BCrypt.checkpw(password, user.getPasswordHash());
    }
}
 
// 2. Endpoint protégé
@Controller("/api/users")
@Secured(SecurityRule.IS_AUTHENTICATED)  // ← Nécessite authentification
public class UserController {
 
    @Get("/me")
    public UserResponse getCurrentUser(Authentication authentication) {
        String email = authentication.getName();
        return userService.getUserByEmail(email);
    }
 
    @Delete("/{id}")
    @Secured({"ADMIN"})  // ← Nécessite rôle ADMIN
    public void deleteUser(@PathVariable Long id) {
        userService.delete(id);
    }
}

Avantages :

✅ Stateless (pas de session serveur)
✅ Scalable horizontalement
✅ Compatible microservices

OWASP Top 10 et Architecture Hexagonale

L’OWASP Top 10 liste les 10 vulnérabilités les plus critiques.

1. Injection

❌ Vulnérable

Code Vulnérable


// ❌ Injection SQL
@Singleton
public class TrendRepositoryAdapter implements TrendRepository {
 
    @Override
    public List<TrendResult> search(String keyword) {
        String sql = "SELECT * FROM trends WHERE keyword = '" + keyword + "'";
        return jdbcTemplate.query(sql, rowMapper);
        // keyword = "'; DELETE FROM trends; --" = CATASTROPHE
    }
}

2. Broken Authentication

❌ Faible

Authentication Faible


// ❌ DANGEREUX : Mots de passe en clair
@Singleton
public class UserService {
    public boolean authenticate(String email, String password) {
        User user = userRepository.findByEmail(email);
        return user.getPassword().equals(password);  // ❌ Clair !
    }
}
 
// ❌ DANGEREUX : Session jamais expirée
@Controller
public class SessionController {
    @Post("/login")
    public void login() {
        session.put("userId", userId);
        // Pas d'expiration = session infinie !
    }
}

3. Sensitive Data Exposure

Ne jamais exposer de données sensibles (mots de passe, tokens, clés API) dans les logs, réponses HTTP, ou exceptions.

❌ Exposé

Données Exposées


// ❌ DANGEREUX : Password dans les logs
@Controller
public class AuthController {
 
    @Post("/login")
    public void login(@Body LoginRequest request) {
        log.info("Login attempt: {}", request);
        // Log: Login attempt: LoginRequest(email=user@example.com, password=secret123)
        // ❌ Password en clair dans les logs !
    }
}
 
// ❌ DANGEREUX : Password dans la réponse
@Data
public class UserResponse {
    private String email;
    private String passwordHash;  // ❌ Ne doit JAMAIS être exposé !
}

4. Security Misconfiguration

Configurations par défaut = souvent non sécurisées !

❌ Non Sécurisé

Configuration Non Sécurisée


# application.yml
micronaut:
  server:
    cors:
      enabled: true
      configurations:
        web:
          allowed-origins:
            - "*"  # ❌ Accepte TOUS les domaines (CSRF, XSS)
  security:
    enabled: false  # ❌ Sécurité désactivée


// ❌ Secrets hardcodés
public class ApiClient {
    private static final String API_KEY = "sk_live_abc123";  // ❌ En clair dans le code !
}

5. Broken Access Control

Vérifier les permissions pour chaque action sensible.

❌ Sans Contrôle

Pas de Contrôle d’Accès


// ❌ DANGEREUX : N'importe qui peut supprimer n'importe quel utilisateur
@Controller("/api/users")
public class UserController {
 
    @Delete("/{id}")
    public void deleteUser(@PathVariable Long id) {
        userService.delete(id);
        // ❌ Pas de vérification : utilisateur A peut supprimer utilisateur B !
    }
}

Sécurité par Couche

Checklist Sécurité

Headers de Sécurité HTTP

Micronaut permet de configurer facilement les headers de sécurité.


# application.yml
micronaut:
  server:
    cors:
      enabled: true
      configurations:
        web:
          allowed-origins:
            - "https://myapp.com"
  security:
    enabled: true
  http:
    headers:
      # Empêcher le clickjacking
      x-frame-options: DENY
 
      # Forcer HTTPS
      strict-transport-security: max-age=31536000; includeSubDomains
 
      # Empêcher le MIME sniffing
      x-content-type-options: nosniff
 
      # Activer le filtre XSS du navigateur
      x-xss-protection: 1; mode=block
 
      # Content Security Policy
      content-security-policy: "default-src 'self'; script-src 'self'; style-src 'self'"

Tester les headers :


curl -I https://myapp.com/api/health
 
HTTP/2 200
x-frame-options: DENY
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-xss-protection: 1; mode=block
content-security-policy: default-src 'self'

Rate Limiting

Protégez vos endpoints contre le brute force et les attaques DoS.


// Custom Rate Limiter
@Singleton
public class RateLimitFilter implements HttpServerFilter {
 
    private final LoadingCache<String, AtomicInteger> requestCounts = Caffeine.newBuilder()
        .expireAfterWrite(1, TimeUnit.MINUTES)
        .build(key -> new AtomicInteger(0));
 
    @Override
    public Publisher<MutableHttpResponse<?>> doFilter(
        HttpRequest<?> request,
        ServerFilterChain chain
    ) {
        String clientIp = request.getRemoteAddress().getAddress().getHostAddress();
 
        AtomicInteger count = requestCounts.get(clientIp);
        if (count.incrementAndGet() > 100) {  // Max 100 requêtes/minute
            return Publishers.just(
                HttpResponse.status(HttpStatus.TOO_MANY_REQUESTS)
                    .body("Rate limit exceeded")
            );
        }
 
        return chain.proceed(request);
    }
}

Configuration pour un endpoint spécifique :


@Controller("/api/auth")
public class AuthController {
 
    @Post("/login")
    @RateLimit(value = 5, duration = "1m")  // Max 5 tentatives/minute
    public HttpResponse<?> login(@Body LoginRequest request) {
        // ...
    }
}

Récapitulatif

Sécurité = Validation + Sanitization + Authentication + Configuration

Règles d’Or

Validation : Valider TOUTES les entrées (DTO + Value Objects)
Sanitization : Paramètres préparés (SQL), échapper HTML
Authentication : BCrypt + JWT avec expiration
Authorization : @Secured + vérifications métier
Secrets : Variables d’environnement (jamais hardcodés)
HTTPS : Toujours en production
Rate limiting : Protéger les endpoints sensibles

OWASP Top 10

Vulnérabilité	Solution
1. Injection	Paramètres préparés
2. Broken Auth	BCrypt + JWT
3. Sensitive Data	Masquer dans logs/DTOs
4. Misconfiguration	CORS strict, secrets en env vars
5. Access Control	`@Secured` + règles métier

Prochaines Étapes

Votre application est maintenant sécurisée ! Passez aux patterns avancés.

📖 Adaptateurs Multiples - Cache, fallback, decorator
📖 Event-Driven - Architecture événementielle
📖 Code Propre - SOLID et bonnes pratiques
📖 Performance - Optimisations Micronaut