Segurança em backend Kotlin raramente começa como o tema mais empolgante do projeto, mas costuma ser uma das primeiras áreas cobradas quando a aplicação sai do ambiente local. Login, autorização por papel, tokens JWT, integração com provedor OAuth2, proteção de endpoints administrativos, testes de acesso e logs sem dados sensíveis aparecem em APIs reais, entrevistas e vagas backend no Brasil.
Para quem já trabalha com Kotlin e Spring Boot, o caminho mais comum é usar Spring Security. Ele é maduro, integra bem com o ecossistema JVM e funciona tanto para APIs REST simples quanto para sistemas corporativos conectados a Keycloak, Auth0, Cognito, Microsoft Entra ID ou outro provedor OpenID Connect. A dificuldade não é instalar a dependência. A dificuldade é configurar apenas o necessário, sem transformar a aplicação em um labirinto de filtros, annotations e exceções difíceis de debugar.
Este guia mostra uma abordagem prática para APIs Kotlin em 2026: quando JWT faz sentido, como configurar um resource server OAuth2, onde colocar roles, como testar regras de acesso e quais cuidados evitam problemas comuns em produção.
JWT não é sessão mágica
JWT, ou JSON Web Token, é um formato assinado para carregar claims sobre uma identidade. Em APIs modernas, ele costuma aparecer no header Authorization:
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...
O token pode trazer sub, email, scope, roles, tenant, expiração e outras informações. A API valida a assinatura e decide se aquela chamada pode continuar. Isso evita consultar o banco em toda requisição só para saber quem é o usuário, mas também cria responsabilidades importantes.
Um JWT emitido não deve ser tratado como dado editável. Se você coloca permissões demais nele, qualquer mudança de autorização só vale quando o token expira ou é revogado por outro mecanismo. Se coloca dados sensíveis, esses dados podem aparecer em logs, ferramentas de debug ou clientes comprometidos. Se usa expiração longa demais, o risco de vazamento cresce. Por isso, tokens de acesso devem ser curtos e objetivos.
Para aplicações web com sessão tradicional, Redis pode guardar sessão curta, mas isso não substitui JWT em APIs stateless nem resolve autorização sozinho. Cada modelo tem trade-offs. JWT é bom para APIs distribuídas e integrações entre serviços; sessão centralizada é boa quando você controla o servidor web e precisa invalidar estado imediatamente.
Dependências mínimas no Spring Boot
Em um backend Kotlin com Gradle, uma API REST que valida tokens OAuth2 geralmente precisa de:
dependencies {
implementation("org.springframework.boot:spring-boot-starter-web")
implementation("org.springframework.boot:spring-boot-starter-security")
implementation("org.springframework.boot:spring-boot-starter-oauth2-resource-server")
implementation("com.fasterxml.jackson.module:jackson-module-kotlin")
testImplementation("org.springframework.boot:spring-boot-starter-test")
testImplementation("org.springframework.security:spring-security-test")
}
O resource-server é a peça que faz sua API validar tokens emitidos por outro sistema. A API não precisa saber a senha do usuário. Ela precisa confiar no emissor, validar assinatura, checar expiração e mapear claims para permissões internas.
No application.yml, configure o emissor:
spring:
security:
oauth2:
resourceserver:
jwt:
issuer-uri: https://auth.exemplo.com/realms/produto
Com issuer-uri, o Spring busca metadados OpenID Connect e chaves públicas automaticamente. Em produção, isso exige rede confiável no boot ou cache adequado das chaves. Para ambientes sensíveis, documente o que acontece se o provedor de identidade ficar indisponível.
Configurando rotas públicas e protegidas
Desde as versões modernas do Spring Security, a configuração com Kotlin fica mais clara usando beans. Um exemplo inicial:
@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
fun securityFilterChain(http: HttpSecurity): SecurityFilterChain {
return http
.csrf { it.disable() }
.authorizeHttpRequests { auth ->
auth.requestMatchers("/actuator/health", "/docs/**").permitAll()
auth.requestMatchers(HttpMethod.GET, "/api/produtos/**").hasAuthority("SCOPE_produtos:ler")
auth.requestMatchers(HttpMethod.POST, "/api/produtos/**").hasAuthority("SCOPE_produtos:escrever")
auth.requestMatchers("/api/admin/**").hasRole("ADMIN")
auth.anyRequest().authenticated()
}
.oauth2ResourceServer { resourceServer ->
resourceServer.jwt { }
}
.build()
}
}
Desabilitar CSRF faz sentido em APIs stateless chamadas por clientes que usam Authorization: Bearer. Não copie essa linha para aplicações web com formulário e sessão sem entender o impacto. Segurança boa depende do tipo de cliente, não de receita universal.
Outro detalhe é a diferença entre hasAuthority("SCOPE_x") e hasRole("ADMIN"). O Spring trata roles com prefixo ROLE_ internamente. Scopes OAuth2 costumam virar authorities com prefixo SCOPE_. Misturar os dois sem padrão é uma fonte comum de bug: o token parece correto, mas o endpoint retorna 403 porque a aplicação esperava outro nome.
Modelando claims para o domínio
Nem toda permissão precisa aparecer como role global. Em muitos sistemas, a autorização depende de contexto: usuário pode editar o próprio perfil, gestor pode ver dados do time, administrador pode alterar configurações e um serviço interno pode executar tarefas batch. Tentar representar tudo como ADMIN, USER e MANAGER costuma ficar pobre rapidamente.
Uma abordagem prática é separar três camadas:
- Autenticação: quem é o usuário ou serviço.
- Autorização técnica: quais scopes ou roles permitem acessar uma rota.
- Autorização de domínio: se aquele usuário pode agir sobre aquele recurso específico.
Exemplo: SCOPE_pedidos:ler permite chamar GET /api/pedidos/{id}, mas a service ainda precisa validar se o pedido pertence ao usuário, ao tenant ou ao grupo permitido. Essa regra pertence ao domínio, não ao filtro HTTP.
@Service
class PedidoService(
private val repository: PedidoRepository,
) {
fun buscarPedido(id: UUID, usuario: UsuarioAutenticado): PedidoDto {
val pedido = repository.findById(id)
?: throw PedidoNaoEncontradoException(id)
if (pedido.clienteId != usuario.clienteId && !usuario.admin) {
throw AcessoNegadoAoPedidoException(id)
}
return pedido.toDto()
}
}
Essa separação melhora testes e reduz acoplamento. O controller e o filtro garantem que a chamada veio autenticada; a service garante que a regra de negócio foi respeitada.
Extraindo usuário autenticado em Kotlin
Em controllers Spring MVC, você pode acessar o token com @AuthenticationPrincipal:
@RestController
@RequestMapping("/api/pedidos")
class PedidoController(
private val service: PedidoService,
) {
@GetMapping("/{id}")
fun buscar(
@PathVariable id: UUID,
@AuthenticationPrincipal jwt: Jwt,
): PedidoDto {
val usuario = UsuarioAutenticado(
id = UUID.fromString(jwt.subject),
email = jwt.getClaimAsString("email"),
clienteId = UUID.fromString(jwt.getClaimAsString("cliente_id")),
admin = jwt.getClaimAsStringList("roles")?.contains("admin") == true,
)
return service.buscarPedido(id, usuario)
}
}
Para evitar repetição, muitos times criam um resolver, extension function ou adapter pequeno que converte Jwt para um tipo do domínio. O importante é não espalhar getClaimAsString("cliente_id") por dezenas de controllers. Claims são contrato de integração; se mudam, você quer ajustar em poucos lugares.
Também vale validar nulidade com cuidado. Kotlin ajuda, mas claims vêm de payload externo. Mesmo token assinado pode não ter a claim que sua aplicação espera. Falhe de forma clara, com erro 401 ou 403 conforme o caso, e registre logs suficientes para investigação sem imprimir o token completo.
Testes de segurança não são opcionais
Se uma regra de acesso é importante, ela precisa de teste. O pacote spring-security-test permite simular usuários e JWTs em testes MVC:
@WebMvcTest(PedidoController::class)
class PedidoControllerSecurityTest(
@Autowired private val mockMvc: MockMvc,
) {
@Test
fun `bloqueia request sem token`() {
mockMvc.get("/api/pedidos/11111111-1111-1111-1111-111111111111")
.andExpect { status { isUnauthorized() } }
}
@Test
fun `permite leitura com scope correto`() {
mockMvc.get("/api/pedidos/11111111-1111-1111-1111-111111111111") {
with(jwt().authorities(SimpleGrantedAuthority("SCOPE_pedidos:ler")))
}.andExpect { status { isOk() } }
}
}
Em APIs críticas, teste também 403: token válido, usuário autenticado, mas permissão insuficiente. Esse cenário pega erros que um teste feliz não vê. Combine esses testes com o guia de testes em Kotlin e com JUnit 5 e MockK para cobrir a regra de domínio separadamente.
Erros comuns em produção
O primeiro erro é confiar no frontend. Esconder botão no app ou na página web melhora experiência, mas não protege a API. Toda decisão sensível precisa ser validada no backend.
O segundo erro é usar JWT como banco de dados. Token não deve carregar perfil completo, lista enorme de permissões, preferências, documento, endereço ou dados que mudam com frequência. Use claims mínimas e busque dados de domínio quando necessário.
O terceiro erro é logar demais. Nunca registre token inteiro, senha, refresh token, secret, authorization code ou payload sensível. Logs de segurança devem ajudar investigação: sub, tenant, rota, status, correlation id e motivo resumido costumam ser suficientes. Para instrumentação mais ampla, conecte essa disciplina ao artigo de observabilidade em Kotlin.
O quarto erro é tratar 401 e 403 como iguais. 401 Unauthorized indica que a requisição não está autenticada ou o token é inválido. 403 Forbidden indica que a identidade foi reconhecida, mas não tem permissão. Essa diferença ajuda cliente, suporte e monitoramento.
O quinto erro é não documentar o contrato de segurança. Se sua API usa OpenAPI, descreva o esquema bearer e quais endpoints exigem quais scopes. O tutorial de OpenAPI e Swagger no Ktor é focado em Ktor, mas a disciplina de contrato vale igualmente para Spring.
Checklist para uma API Kotlin segura
Antes de colocar uma API Spring Security em produção, revise:
- tokens de acesso têm expiração curta;
- refresh tokens não são aceitos em endpoints de API comum;
issuer,audiencee assinatura são validados;- endpoints públicos estão listados explicitamente;
- rotas administrativas exigem role ou scope separado;
- regra de domínio não depende só do filtro HTTP;
- testes cobrem sem token, token inválido, permissão insuficiente e sucesso;
- logs não imprimem secrets nem tokens completos;
- métricas separam
401,403e erro de provedor de identidade; - documentação informa autenticação e scopes esperados.
Se o time trabalha com múltiplas linguagens, vale comparar como outras stacks resolvem os mesmos problemas. Em Go, é comum montar middlewares HTTP explícitos para JWT. Em Python, FastAPI e Django REST Framework oferecem integrações maduras. O ganho do Kotlin com Spring é combinar expressividade da linguagem, ecossistema enterprise e segurança integrada sem sair da JVM.
Conclusão
Spring Security com Kotlin não precisa ser assustador. Comece com um resource server OAuth2 simples, proteja rotas com scopes claros, deixe regras de domínio dentro das services, teste os cenários de acesso e trate logs como parte da segurança. Essa base resolve a maior parte das APIs backend que aparecem em produtos reais e em vagas Kotlin no Brasil.
O ponto mais importante é evitar atalhos invisíveis. Segurança não é apenas dependência no build.gradle.kts; é contrato, modelagem, teste, observabilidade e operação. Quando esses elementos trabalham juntos, Kotlin e Spring Boot formam uma stack forte para construir APIs que evoluem sem expor usuários, dados ou o próprio time a riscos desnecessários.