WTT 2026 – Segurança de verdade: como proteger uma aplicação moderna com BFF em Spring Security

No dia 14 de abril de 2026, os alunos da Faculdade de Computação e Informática (FCI) da Universidade Presbiteriana Mackenzie (campus Higienópolis), participaram do Workshop de Tecnologia e Tendências 2026 (WTT 2026). O WTT 2026 é uma iniciativa da FCI para destacar as práticas e processos tecnológicos mais recentes da comunidade profissional e acadêmica, promovendo o contato dos alunos com temas relevantes e inovadores.

A equipe (alunos e laboratoristas) do laboratório MackLeaps propôs a realização de três Workshops realizados em dias consecutivos, cada um abordando um aspecto diferente de uma arquitetura de software voltada a segurança das aplicações.

Gabriel Mendes, aluno do 6º semestre de Ciência da Computação, conduziu as duas sessões do dia, uma pela manhã e outra à noite, com cerca de 25 participantes em cada turma. O tema era “Arquitetura BFF com Spring Security” e, para quem não é da área, o nome pode soar hermético. A ideia por trás, porém, é mais acessível do que parece.

O problema que o workshop veio resolver

Imagine qualquer aplicação conectada à internet: uma loja online, um sistema bancário, uma plataforma de streaming. Por trás da interface que o usuário vê, existem múltiplos serviços conversando entre si, cada um com suas próprias regras e seus próprios dados.

A pergunta central do Workshop foi: quem controla o que o usuário pode ver e fazer dentro de tudo isso?

Neste sentido, o padrão BFF (Backend for Frontend) surge como um padrão arquitetural que promete resolver os problemas criados pela utilização de múltiplos serviços diretamente no frontend. Em vez de o navegador do usuário se comunicar diretamente com cada um desses serviços, o BFF funciona como uma camada intermediária: recebe as requisições do frontend, valida quem está pedindo e só então repassa ao serviço correto, devolvendo apenas as informações necessárias. O workshop ensinou os participantes a construir exatamente essa camada, usando Java com Spring Boot e Spring Security.

Da teoria à prática

Gabriel começou situando os participantes na evolução das aplicações web, apresentando a diferença entre as antigas MPAs (Multi-Page Applications), em que cada ação do usuário carregava uma nova página do servidor, e as modernas SPAs

(Single-Page Applications), em que a interface é carregada uma vez e os dados trafegam dinamicamente em segundo plano.

Essa distinção importa porque as SPAs mudam a forma como a segurança precisa ser pensada. O navegador passa a ter um papel mais ativo na aplicação, o que exige atenção redobrada sobre o que é exposto e como.

A partir disso, os participantes construíram, passo a passo, uma aplicação integrando um frontend em Vue.js (desenvolvido no na oficina Workshop Introdução a SPA com Vue.js, no dia anterior) a um backend Java protegido. Os conceitos trabalhados foram discutidos no Workshop foram:

• Gerenciamento de sessões: como o servidor reconhece um usuário autenticado sem que ele precise se identificar a cada requisição;
• DTOs (Data Transfer Objects): uma técnica para controlar quais dados são enviados ao cliente, sem expor campos internos desnecessariamente;
• RestClient: como o BFF se comunica com outros serviços do backend de forma organizada;
• Fluxos de login e logout com Spring Security, restringindo o acesso às rotas da aplicação apenas a usuários autenticados.

Uma abordagem dinâmica de ensino

Para além do conteúdo, vale mencionar como as sessões foram conduzidas. O workshop funcionou mais como uma resolução de problemas em conjunto do que uma apresentação convencional. Erros de sintaxe e dúvidas de lógica surgiam e viravam discussões abertas. Quem entendia um conceito acabava explicando para o colega ao lado.

Durante a atividade, Gabriel utilizou metodologias ativas, com destaque para estratégias de gamificação, ao distribuir recompensas aos alunos que identificavam bugs ou respondiam a perguntas sobre a lógica implementada. Essa abordagem contribuiu para manter as turmas engajadas e participativas ao longo de toda a sessão.

Ao final, a grande maioria dos participantes tinha uma aplicação funcional rodando na própria máquina, com autenticação, controle de rotas, assim como a integração entre frontend e backend.

O WTT 2026 reflete o ambiente que a FCI vem consolidando: um espaço no qual os próprios alunos assumem a responsabilidade de compartilhar conhecimento com seus pares, aliando rigor técnico à qualidade didática.

O workshop “Gerenciamento de Identidade com Keycloak”, realizado no 3º dia do evento, encerrou o ciclo de workshops desenvolvidos pela equipe do MackLeaps. A atividade como o nome já diz, abordou o gerenciamento de identidade com Keycloak, completando a arquitetura de segurança apresentada ao longo dos três dias.

Sobre o ministrante