Zurück

OAuth 2.0 Next Level: Sicherer Token-Austausch mit PAR und DPoP

OAuth 2 und OpenID Connect sind essenzielle Standards für moderne Authentifizierung und Autorisierung, doch ihre Komplexität kann herausfordernd sein.

In diesem Talk geht Martina über die Grundlagen hinaus und beleuchten erweiterte OAuth-Standards wie Pushed Authorization Requests (PAR) für sichere Token-Anforderungen und Demonstrating Proof-of-Possession (DPoP) als sichere Alternative zu Bearer Tokens.

Gefüllt mit einer Vielzahl von Live-Demos zeigt Martina wie Angreifende Bearer Tokens missbrauchen können – und wie du deine Anwendungen effektiv dagegen absichern kannst.

Vorkenntnisse

Grundlagen von OAuth 2.0 und OpenID Connect:

Verständnis der OAuth 2.0-Flows (z.B. Authorization Code Flow)
Unterschiede zwischen OAuth 2.0 und OpenID Connect
Rolle des Bearer Tokens
Kenntnisse über JSON Web Tokens (JWT) sind ebenfalls von Vorteil

Lernziele

Nach diesem Talk verstehst du erweiterte OAuth-2.0-Standards wie Pushed Authorization Requests (PAR) und Demonstrating Proof-of-Possession (DPoP) als sichere Alternative zu Bearer Tokens. Du lernst, wie Angriffe auf OAuth-Tokens funktionieren, und erhältst eine Vielzahl verschiedener Best Practices zur sicheren Implementierung von OAuth in modernen Anwendungen, um deine APIs und Benutzerkonten besser zu schützen.

Speaker

Martina Kraus ist Expertin für Websicherheit und Application Security Engineer. Sie integriert Sicherheits-Best-Practices in alle Phasen der Softwareentwicklung. Als Google Developer Expert (GDE) teilt sie ihr Wissen auf internationalen Konferenzen und schreibt gerade an einem Buch "Authentifizierung und Autorisierung in Web Applikationen".

Jetzt Tickets sichern

heise-devSec-Newsletter

Du möchtest über die heise devSec
auf dem Laufenden gehalten werden?

Anmelden