Zurück

OAuth 2.1 und OpenID Connect für Entwickler

Dieser Workshop findet am 11. September in Karlsruhe statt.

Eine Microservices-Architektur bringt viele Vorteile für Softwareanwendungen mit sich. Gleichzeitig werden aber auch neue Herausforderungen für verteilte Systeme mit eingeführt. Eine dieser Herausforderungen ist die Implementierung einer zu diesem Architekturstil passenden sicheren Authentifizierung und Autorisierung. Hierfür haben sich heutzutage die Protokolle OAuth 2.1 und OpenID Connect als Standards durchgesetzt.

In diesem praktischen Hands-on-Workshop werden wir die Authentifizierung und Autorisierung mittels OAuth 2.1 und OpenID Connect auf Basis einer bereitgestellten Java-Spring-Boot-Microservices-Anwendung implementieren (jeweils auf Server- und Client-Seite).

Vorkenntnisse

Programmierkenntnisse in Java
Installiertes Java JDK 17
Eine Java-IDE (Eclipse, IntelliJ oder VS Code)
Ein Client-Tool zum Testen einer REST-API (Curl, Postman, ...)

Lernziele

Kennenlernen der grundlegenden Konzepte und Verfahren von OAuth 2.1 und OpenID Connect (OIDC)
Änderungen in der neuen OAuth 2.1 Version
Best Practices mit OAuth 2.1 und OpenID Connect (insbesondere für Single-Page-Applikationen) sowie im Umgang mit Tokens
Authentifizierung/Autorisierung eines Backend-Service mit signierten Tokens (JWT)
Authentifizierung eines Clients unter Verwendung des OAuth Authorization Code Grant + PKCE

Agenda

ab 09:00 Uhr: Registrierung und Begrüßungskaffee
10:00 Uhr: Beginn

Einführung in OAuth 2.x und OpenID Connect (OIDC) / Was ist neu in OAuth 2.1
Vorstellung der Hands-On Teile und der Beispielanwendung
Hands-On Teil 1: Implementierung eines OAuth/OIDC Resource Servers

12:30 - 13:30 Uhr: Mittagspause

Fortsetzung Hands-On Teil 1: Implementierung eines OAuth/OIDC Resource Servers
Hands-On Teil 2: Implementierung des zugehörigen OAuth/OIDC Clients

15:00 - 15:15 Uhr: Kaffeepause

Fortsetzung Hands-On Teil 2: Implementierung des zugehörigen OAuth/OIDC Clients
OAuth/OIDC Best Practices

16:15 - 16:30 Uhr: Kaffeepause

Ausblick:
Neue OAuth/OIDC Spezifikationen
Wohin geht der Weg im Identity Management generell (Verifyable Credentials, Self-Sovereign Identity)

ca. 17:00 Uhr: Ende

Technische Anforderungen

Auf euren Laptops sollte eine Java-IDE installiert sein, z. B. IntelliJ, Eclipse, Visual Studio Code, mit denen ihr umgehen könnt. Der Trainer nutzt IntelliJ.
Es sollte ein Java SDK in der LTS Version 17 installiert sein, die Hands-On Teile setzen mindestens Java 17 voraus.
Ihr solltet Postman (Präferiert, der Trainer arbeitet hiermit) oder ein vergleichbares Werkzeug zum Testen von APIs installiert haben.
Der Laptop sollte über genügend Ressourcen verfügen, um mit mehreren (~3-4) Java Spring-Boot-Applikationen zu arbeiten.

Falls ihr ein Gerät eurer Firma verwendet, überprüft vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei euch auftreten könnte.

Workshop-Teilnehmer:in hat keine Administrator-Rechte.
Corporate Laptops mit übermäßig penibler Sicherheitssoftware
Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Speaker

Andreas Falk arbeitet für die Novatec Consulting mit Sitz in Stuttgart. In verschiedenen Projekten ist er als Architekt, Coach, und Trainer im Einsatz. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-Nativen Java Anwendungen. Als Mitglied der OWASP Community und der OpenID Foundation beschäftigt er sich auch gerne mit verschiedenen Aspekten der Anwendungssicherheit.

Jetzt Tickets sichern

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

Anmelden