Inhaltsverzeichnis
- Seminarprofil
- Lernziele
- Schwerpunkte
- Praxisübungen
- Zielgruppe und Vorkenntnisse
Seminarprofil
Security muss an den Vertrauensgrenzen einer Anwendung beginnen und darf nicht auf einzelne Annotationen reduziert werden. Dieses Seminar erklärt die Filterkette von Spring Security und setzt darauf Authentifizierung, Autorisierung sowie OAuth2- und OpenID-Connect-Szenarien auf.
Eine Beispielanwendung wird als geschützte Web- und REST-Anwendung ausgebaut. Resource Server, JWT-Prüfung, OAuth2 Login, Clientzugriffe, methodenbasierte Regeln, CORS, CSRF, Passwortbehandlung und Security-Tests werden mit nachvollziehbaren Bedrohungsannahmen verbunden.
Lernziele
- Security Filter Chain und Requestverarbeitung verstehen
- Authentifizierung und Autorisierung klar voneinander trennen
- REST-APIs als OAuth2 Resource Server mit JWT absichern
- OpenID-Connect-Login und OAuth2-Clientzugriffe konfigurieren
- URL-, Rollen-, Authority- und methodenbasierte Regeln entwickeln
- CORS, CSRF, Session, Secrets und Fehlerantworten sicher gestalten
- Security-Konfiguration und Angriffsvarianten automatisiert testen
Schwerpunkte
Security-Architektur
- Filter Chain, Security Context und Authentication
- User, Principal, Granted Authorities und Access Decisions
- Sichere Defaults und explizite Freigaberegeln
Authentifizierung
- In-Memory, JDBC und benutzerdefinierte Benutzerquellen
- Password Encoder und sichere Passwortspeicherung
- Sessions, stateless APIs und Remember-Me-Einordnung
Autorisierung
- Request Matcher, Rollen und Authorities
- Method Security und fachliche Zugriffsregeln
- Mandanten-, Objekt- und Kontextbezug
OAuth2 Resource Server
- JWT-Struktur, Signatur, Issuer und Audience
- Authorities Mapping und benutzerdefinierte Claims
- Fehlerantworten, Tokenablauf und Schlüsselrotation
OpenID Connect und OAuth2 Client
- Authorization Code Flow und Login
- Client Credentials für Servicekommunikation
- Tokenweitergabe und kontrollierte Clientregistrierungen
Browser- und API-Schutz
- CSRF, CORS, Security Headers und Session Fixation
- Inputgrenzen, Fehlerdetails und Informationslecks
- Secrets, Konfiguration und sichere Betriebsendpunkte
Security-Tests
- Mock Users, JWT und methodenbasierte Tests
- Web- und Integrationstests für erlaubte und verbotene Zugriffe
- Negative Tests, Tokenfehler und Regressionen
Praxisübungen
- Eine Security Filter Chain mit expliziten öffentlichen und geschützten Pfaden konfigurieren.
- Benutzer, Passwortkodierung und rollenbasierte Regeln für eine Webfunktion umsetzen.
- Eine REST-API als JWT-basierten Resource Server absichern.
- Claims auf Authorities und fachliche Methodenregeln abbilden.
- OpenID-Connect-Login oder einen OAuth2-Client für einen externen Aufruf ergänzen.
- CORS-, CSRF- und Fehlerbehandlungsregeln für Browser und API prüfen.
- Positive und negative Security-Tests einschließlich ungültiger und abgelaufener Tokens automatisieren.
Zielgruppe und Vorkenntnisse
Zielgruppe: Java- und Spring-Entwicklung, Backend- und API-Entwicklung, Softwarearchitektur sowie technische Security-Verantwortung.
Vorkenntnisse: Gute Spring-Boot- und Java-Kenntnisse sowie Grundlagen zu HTTP, REST und Websicherheit. OAuth2-Vorkenntnisse sind nicht erforderlich.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 3 Tage, ca. 6 Stunden/Tag, Beginn am 1. Tag 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.797 zzgl. MwSt. Inhaus: CHF 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Spring-/Backend-/API-Entwicklung, Architektur und technische Security-Verantwortung |
| Voraussetzungen: | Spring Boot, Java, HTTP und REST; Websecurity-Grundlagen hilfreich |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Fachvortrag, Demonstrationen, angeleitete Schritt-für-Schritt-Übungen und Fallstudien am System |
| Seminararten: | Öffentlich, Webinar, Inhouse, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
