¿Necesito conocimientos previos de seguridad?

No. Los conceptos de seguridad necesarios (hashing, firma, tokens, flujos de autorización) se explican desde la base y siempre ligados a su implementación práctica. Lo que sí se requiere es soltura con Spring Boot, porque toda la práctica se construye sobre él.

¿Se construye un authorization server propio?

No como práctica central: el estándar de facto en empresas es delegar en un identity provider, y el curso usa Keycloak para ese papel. Se explica el ecosistema Spring Authorization Server y cuándo tiene sentido plantearse uno propio, que es menos veces de las que parece.

¿Qué solapamiento tiene con el curso de APIs REST?

El curso de APIs REST dedica un módulo a securizar la API como parte del diseño global. Este curso profundiza diez veces más: arquitectura interna de Spring Security, implementación completa de JWT, flujos OAuth2 detallados, autorización a nivel de método y testing de seguridad. Si la seguridad es tu responsabilidad, este es el curso.

¿Puede impartirse para empresas?

Sí. Todos nuestros cursos pueden impartirse en formato in-company, adaptando temario, duración y nivel al equipo. Diseñamos el itinerario tras un breve diagnóstico previo.

¿El curso es práctico?

Sí. Combinamos explicación, demostración guiada y laboratorios. Cada alumno trabaja sobre casos reales y termina con entregables aplicables a su contexto profesional.

¿Se entrega certificado de aprovechamiento?

Sí. Al finalizar el curso emitimos un certificado de aprovechamiento de DatIACode con detalle del temario y horas. Si el curso prepara para certificación oficial, lo indicaremos expresamente en su descripción.

Todos los cursos Programación

Formación DatIACode

Spring Security con JWT y OAuth2

Domina Spring Security de verdad: arquitectura de filtros, autenticación stateless con JWT, OAuth2 y OpenID Connect con Keycloak, autorización por roles y método, y testing de la seguridad.

Nivel: Avanzado
Duración: 20 horas
Modalidades: Online en directo · In-company · A medida
Dirigido a: Desarrolladores backend Java/Spring responsables de la seguridad de sus aplicaciones y APIs.

Sobre el curso

¿Qué es este curso y por qué te interesa?

Spring Security tiene fama de ser la pieza más opaca del ecosistema Spring, y la consecuencia es peligrosa: configuraciones copiadas de tutoriales que nadie del equipo sabe explicar, protegiendo sistemas con datos reales. En seguridad, no entender tu propia configuración no es deuda técnica: es una vulnerabilidad esperando su momento.

Este curso desmonta esa opacidad. Empieza por la arquitectura real del framework (la cadena de filtros, el SecurityContext, los AuthenticationProviders) para que cada línea de configuración tenga significado. Sobre esa base se implementa autenticación stateless con JWT bien hecha: emisión y validación de tokens, renovación, revocación y los errores de implementación que convierten un JWT en un agujero, como algoritmos mal validados o tokens eternos.

La segunda mitad cubre OAuth2 y OpenID Connect con rigor conceptual y práctica real: roles del protocolo, flujo authorization code con PKCE, integración con Keycloak como identity provider y configuración de la aplicación como resource server. Se completa con autorización fina por roles y a nivel de método, protección frente a CSRF y CORS bien configurado, y una batería de tests de seguridad, porque la seguridad que no se prueba se rompe sin avisar.

Qué aprenderás

Capacidades que adquirirás

Entender la arquitectura de Spring Security: filtros, SecurityContext y proveedores.
Implementar autenticación stateless con JWT: emisión, validación, renovación y revocación.
Integrar OAuth2 y OpenID Connect con Keycloak: flujos, scopes y resource server.
Diseñar la autorización: roles, authorities y reglas a nivel de método.
Probar la seguridad con tests automatizados y evitar los errores típicos de configuración.

Objetivos

Objetivos del curso

01Comprender el flujo completo de una petición a través de la cadena de filtros.
02Configurar SecurityFilterChain con criterio propio, sin recetas copiadas.
03Implementar JWT de forma segura: algoritmos, expiración, refresh y revocación.
04Dominar los flujos OAuth2/OIDC y el papel de cada actor del protocolo.
05Aplicar autorización granular con roles, scopes y @PreAuthorize.
06Construir tests que verifiquen autenticación y autorización en cada endpoint.

A quién va dirigido

¿Es este curso para ti o para tu equipo?

Desarrolladores backend Java/Spring responsables de la seguridad de sus aplicaciones y APIs.

Desarrolladores backend Java/Spring

Programadores que deben securizar aplicaciones y APIs y quieren dejar de configurar Spring Security a ciegas.

Equipos con seguridad heredada o copiada

Equipos que mantienen configuraciones de seguridad que nadie escribió ni entiende y necesitan auditarlas y modernizarlas.

Arquitectos y responsables de plataforma

Perfiles que diseñan la estrategia de identidad y acceso de varias aplicaciones con un identity provider central.

Temario

Temario completo

Programa estructurado en módulos. Cada itinerario in-company se ajusta al nivel y a los objetivos concretos del equipo.

- La cadena de filtros: qué filtros existen y en qué orden actúan.
- SecurityContext, Authentication y GrantedAuthority.
- AuthenticationManager y providers: cómo se verifica una credencial.
- SecurityFilterChain: anatomía de una configuración moderna basada en lambdas.

Metodología

Cómo se imparte

Práctica desde la primera sesión

Cada bloque combina explicación, demostración y laboratorio. Los alumnos trabajan sobre casos reales aplicables a su contexto profesional.

Casos de cliente

En programas in-company partimos de los procesos y datos del cliente. La formación deja de sonar genérica y empieza a resolver problemas concretos.

Materiales de apoyo

Los participantes reciben código, plantillas y guías reutilizables tras la formación. Lo que se aprende se mantiene en el día a día.

Adaptación al nivel del equipo

Antes de impartir, hacemos un breve diagnóstico y ajustamos profundidad y ritmo. La formación no se queda corta ni avanza por encima del grupo.

Modalidades

Modalidades disponibles

Cada formato puede adaptarse al ritmo y al contexto operativo de la organización.

Online en directo

Sesiones en streaming con interacción en vivo, ejercicios guiados y resolución de dudas.

In-company

Programa diseñado a medida y impartido para un único equipo o organización.

A medida

Itinerario completamente personalizado: temario, duración, formato y casos del cliente.

Beneficios para empresas

¿Por qué contratar este programa para tu equipo?

La formación no se diseña contra un examen, se diseña contra un objetivo de negocio.

Mejora de productividad real en el puesto de trabajo.
Actualización de competencias clave para el negocio.
Mayor autonomía técnica y reducción de dependencia externa.
Aplicación práctica inmediata sobre procesos del cliente.
Mejor adopción tecnológica con criterios profesionales.
Preparación para proyectos de IA, datos, automatización o desarrollo.

Formación bonificada

¿Se puede gestionar como formación bonificada?

Este curso puede plantearse como formación para empresas y, según las condiciones de cada organización, podría gestionarse dentro de iniciativas de formación bonificada. En DatIACode te ayudamos a estructurar la propuesta formativa y la documentación necesaria para su valoración.

Requisitos previos

¿Qué necesitas saber antes de empezar?

Experiencia con Java y Spring Boot en proyectos reales.
Conocimiento del protocolo HTTP y de APIs REST.
Nociones de Docker para levantar Keycloak en local.

Aplicaciones

Cómo se aplica lo aprendido

Securización de APIs REST con JWT y validación de tokens.
Integración de aplicaciones con identity providers corporativos vía OAuth2/OIDC.
Centralización de la identidad con Keycloak para varias aplicaciones.
Implantación de autorización granular por roles y propiedad del recurso.
Auditoría y modernización de configuraciones de seguridad heredadas.

DatIACode

Por qué elegir DatIACode

No vendemos formación: diseñamos programas que se traducen en capacidad operativa real.

Experiencia aplicada

Más de 20 años combinando consultoría, desarrollo y formación tecnológica para empresas de distintos sectores.

Visión de negocio

Cada programa parte de los objetivos del cliente. La técnica está al servicio del problema, no al revés.

Adaptación al equipo

Ajustamos profundidad, ritmo y casos de uso al nivel real del equipo tras un breve diagnóstico inicial.

Formación + consultoría

Si la formación destapa un proyecto, podemos acompañarte en su implantación. No abandonamos el resultado.

Especialización en IA

Trabajamos en IA aplicada todos los días. La formación no la imparte alguien que solo enseña, la imparte alguien que también construye.

Orientación a resultados

Entregables tangibles y métricas pactadas. Sin promesas vacías.

Preguntas frecuentes

FAQ

No. Los conceptos de seguridad necesarios (hashing, firma, tokens, flujos de autorización) se explican desde la base y siempre ligados a su implementación práctica. Lo que sí se requiere es soltura con Spring Boot, porque toda la práctica se construye sobre él.

Solicitar información

Cuéntanos qué necesitas

Te respondemos en menos de 24h laborables con disponibilidad, opciones de modalidad y propuesta a medida si aplica.

Diagnóstico inicial sin compromiso.
Propuesta adaptada al nivel y al sector.
Asesoramiento sobre formación bonificada.

Nombre*

Email*

Empresa

Teléfono

Cargo

Sector

Modalidad de interés*

Número aproximado de alumnos*

Mensaje*

He leído y acepto la Política de Privacidad.Acepto recibir comunicaciones comerciales de DatIACode sobre cursos y novedades. Es opcional y puedo darme de baja en cualquier momento.

Información básica de protección de datos. Responsable: Datiacode Tech S.L.. Finalidad: atender tu solicitud y, si lo aceptas, enviarte comunicaciones comerciales. Legitimación: consentimiento del interesado y/o medidas precontractuales. Destinatarios: encargados de tratamiento descritos en la política. Derechos: acceso, rectificación, supresión, oposición, limitación y portabilidad escribiendo a privacidad@datiacode.com. Más información en la Política de Privacidad.

Ver todos los cursos

Ver curso
Programación24 horas
Spring Data JPA e Hibernate
Ver curso
Programación24 horas
APIs REST con Spring Boot: diseño, seguridad y buenas prácticas
Ver curso
Programación30 horas
Microservicios con Spring Boot y Spring Cloud