PermissionManager v1.0.0 — Autorización RBAC con JWT vs Sesión en Spring Security

Descripción

Primera versión estable de PermissionManager, un proyecto educativo y comparativo que implementa un motor de autorización basado en políticas con dos enfoques de autenticación en Java con Spring Boot y Spring Security:

• Autenticación stateless con JWT
• Autenticación stateful basada en sesiones

Ambas implementaciones comparten el mismo modelo de autorización RBAC (Role-Based Access Control) con evaluación de políticas explicables.

Qué incluye esta versión

Dos implementaciones completas separadas por ramas (rbac-jwt y rbac-session)

Sistema de autorización basado en políticas con evaluación:

decide(subject, resource, action, context) → ALLOW | DENY

Control de acceso RBAC con tres roles (USER, ADMIN, SUPPORT) y permisos granulares

Configuración de seguridad realista alineada con buenas prácticas de Spring Security

Tests de seguridad implementados y pasando en ambas estrategias

Documentación técnica detallada en cada rama explicando:

• Decisiones de diseño
• Flujos de autenticación y autorización
• Trade-offs y limitaciones reales
• Comparativa JWT vs Sesión

Objetivo del proyecto

Servir como referencia práctica para entender:

• Cuándo y por qué elegir JWT o sesiones en un contexto de autorización
• Cómo implementar un motor de autorización explicable y auditable
• Las diferencias reales entre arquitecturas stateless y stateful

Evitando ejemplos simplificados o poco realistas.

Estado del proyecto

Versión cerrada y estable
Enfoque educativo y demostrativo
No se planean nuevas funcionalidades en esta versión