Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Login, Session- und Accountmanagement: Der Teufel steckt im Detail!

Selbst das Login mit Username und Passwort kann in der Implementierung erstaunlich viele Tücken haben. Anbindung mit OIDC, Zweifaktor-Authentisierung oder Passkeys vergrößern die Komplexität weiter.

Der Vortrag zeigt im ersten Teil die Tücken, auf die ein Anmeldesystem achten muss, und ist quasi eine "Anti-Werbung" zum Selbermachen.

Im zweiten Teil betrachten wir die Verwendung von Identity Providern bzw. Authentisierungs-Proxies als Alternative zur Eigenimplementierung. Exemplarisch wird die Integration einer Webanwendung mit Authentik – es muss nicht immer Keycloak sein ;-) – und Apache APISIX vorgestellt.

Vorkenntnisse

Grundlagen von Webanwendungen und Containern

Lernziele

  • Sensibilisierung für die Problematik (es ist eben nicht trivial zu implementieren)
  • Vorstellung der Funktion von Authentisierungs-Portalen und API-Gateways
  • Aufzeigen anhand von Beispielskonfiguration, was selbst implementiert werden muss

Speaker

 

Stefan Schlott
Stefan Schlott ist Advisory Consultant bei der Firma BeOne Stuttgart GmbH und betreut dort die Schwerpunkte Java-Entwicklung, Security sowie Themen rings um CI/CD und Containerplattformen. In seiner Freizeit ist Dr. Schlott Dozent an der Dualen Hochschule Baden-Württemberg. Er begeistert sich für funktionale Programmierung und moderne Sprachen wie Scala und Rust und ist überzeugter Open-Source'ler.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden