Sichere reaktive Webanwendungen mit Spring Security 5.1 (Hands-On Workshop)

Tutorial Day - 20. Februar
 
09:00
12:30
 
Tutorial 1 + 2
 
Seminarraum 1.812

Mit dem Project Reactor und Spring 5 hat die reaktive Programmierung nun auch den Weg in die Spring-Welt gefunden.

Doch wie sieht es mit der Sicherheit von reaktiven Webanwendungen aus? Im Kontext der Cloud und Microservice-Architekturen wird man hier unweigerlich mit Protokollen wie OAuth2 und OpenID Connect konfrontiert. Wie funktionieren diese Standards und wie baue ich das sicher mit in meine Anwendungen ein? Wie stelle ich mit der Autorisierung sicher, dass Benutzer meiner Anwendung nur auf berechtigte Funktionen zugreifen dürfen? Wie lege ich ein Benutzerkennwort sicher verschlüsselt in der Datenbank ab?

Mit derartigen Fragestellungen wollen wir uns in diesem Hands-On-Workshop beschäftigen.

Wir starten zunächst mit einer kurzen Einführung in die Grundlagen der reaktiven Programmierung mit Spring Webflux und dem Project Reactor.

Daran anschließend beginnen wir zusammen, eine initial völlig ungesicherte reaktive Webanwendung mit Spring Security 5.1 und Spring Boot 2.1 schrittweise immer sicherer zu machen.

Im Verlauf des Workshops werden wir unter anderem die folgenden Punkte behandeln:
- Initiale Basis-Sicherheit durch die automatische Konfiguration mit Spring Boot
- Benutzerdefinierte Sicherheit (User/Passwort Authentifizierung mit persistenter Benutzerdatenbank und sicherer Passwortverschlüsselung)
- Reaktive Unterstützung für Security und was sich im Vergleich zur Sicherung blockierender servletbasierter Anwendungen geändert hat.
- Sicherheit von Actuator Monitoring Endpunkten
- Autorisierung auf verschiedenen Ebenen (Rest-API, Methoden) einschließlich automatisierter Sicherheitstests
- Authentifizierung mit OAuth2/OpenID Connect

Voraussetzungen:
Notebook, Git, JDK in Version 8 oder 11 und eine Java-IDE (mit Unterstützung für Gradle).

Andreas Falk

Novatec Consulting GmbH, Deutschland

Andreas Falk arbeitet seit mehr als zwanzig Jahren im Enterprise-Java-Umfeld und ist seit sieben Jahren bei der Novatec Consulting GmbH als Managing Consultant tätig.

Seine Schwerpunkte liegen auf der agilen Entwicklung von Cloud-Nativen Java-Anwendungen auf Basis der Spring-Plattform.

Darüber hinaus beschäftigt er sich als OWASP-Mitglied mit der Anwendungssicherheit und ist als Speaker regelmäßig auf Konferenzen unterwegs.