Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

OAuth 2.1 und OpenID Connect für Entwickler


Dieser Workshop findet am 11. September in Karlsruhe statt.

Eine Microservices-Architektur bringt viele Vorteile für Softwareanwendungen mit sich. Gleichzeitig werden aber auch neue Herausforderungen für verteilte Systeme mit eingeführt. Eine dieser Herausforderungen ist die Implementierung einer zu diesem Architekturstil passenden sicheren Authentifizierung und Autorisierung. Hierfür haben sich heutzutage die Protokolle OAuth 2.1 und OpenID Connect als Standards durchgesetzt.

In diesem praktischen Hands-on-Workshop werden wir die Authentifizierung und Autorisierung mittels OAuth 2.1 und OpenID Connect auf Basis einer bereitgestellten Java-Spring-Boot-Microservices-Anwendung implementieren (jeweils auf Server- und Client-Seite).

Vorkenntnisse

  • Programmierkenntnisse in Java
  • Installiertes Java JDK 17
  • Eine Java-IDE (Eclipse, IntelliJ oder VS Code)
  • Ein Client-Tool zum Testen einer REST-API (Curl, Postman, ...)

Lernziele

  • Kennenlernen der grundlegenden Konzepte und Verfahren von OAuth 2.1 und OpenID Connect (OIDC)
  • Änderungen in der neuen OAuth 2.1 Version
  • Best Practices mit OAuth 2.1 und OpenID Connect (insbesondere für Single-Page-Applikationen) sowie im Umgang mit Tokens
  • Authentifizierung/Autorisierung eines Backend-Service mit signierten Tokens (JWT)
  • Authentifizierung eines Clients unter Verwendung des OAuth Authorization Code Grant + PKCE

Agenda

ab 09:00 Uhr: Registrierung und Begrüßungskaffee
10:00 Uhr: Beginn
  • Einführung in OAuth 2.x und OpenID Connect (OIDC) / Was ist neu in OAuth 2.1
  • Vorstellung der Hands-On Teile und der Beispielanwendung
  • Hands-On Teil 1: Implementierung eines OAuth/OIDC Resource Servers
12:30 - 13:30 Uhr: Mittagspause
  • Fortsetzung Hands-On Teil 1: Implementierung eines OAuth/OIDC Resource Servers
  • Hands-On Teil 2: Implementierung des zugehörigen OAuth/OIDC Clients
15:00 - 15:15 Uhr: Kaffeepause
  • Fortsetzung Hands-On Teil 2: Implementierung des zugehörigen OAuth/OIDC Clients
  • OAuth/OIDC Best Practices
16:15 - 16:30 Uhr: Kaffeepause
  • Ausblick:
    Neue OAuth/OIDC Spezifikationen
    Wohin geht der Weg im Identity Management generell (Verifyable Credentials, Self-Sovereign Identity)
ca. 17:00 Uhr: Ende

 

Technische Anforderungen

  • Auf euren Laptops sollte eine Java-IDE installiert sein, z. B. IntelliJ, Eclipse, Visual Studio Code, mit denen ihr umgehen könnt. Der Trainer nutzt IntelliJ.
  • Es sollte ein Java SDK in der LTS Version 17 installiert sein, die Hands-On Teile setzen mindestens Java 17 voraus.
  • Ihr solltet Postman (Präferiert, der Trainer arbeitet hiermit) oder ein vergleichbares Werkzeug zum Testen von APIs installiert haben.
  • Der Laptop sollte über genügend Ressourcen verfügen, um mit mehreren (~3-4) Java Spring-Boot-Applikationen zu arbeiten.

Falls ihr ein Gerät eurer Firma verwendet, überprüft vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei euch auftreten könnte.
  • Workshop-Teilnehmer:in hat keine Administrator-Rechte.
  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware
  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Speaker

 

Andreas Falk
Andreas Falk arbeitet für die Novatec Consulting mit Sitz in Stuttgart. In verschiedenen Projekten ist er als Architekt, Coach, und Trainer im Einsatz. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-Nativen Java Anwendungen. Als Mitglied der OWASP Community und der OpenID Foundation beschäftigt er sich auch gerne mit verschiedenen Aspekten der Anwendungssicherheit.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden