Web-Security rings um die Anmeldung revisited!
Abstract
Vor 10 Jahren hielt ich einen Vortrag, welche Details man bei der Implementierung einer Login-Funktion beachten muss... oh boy, we've come a long way since then! Zeit für ein Update! Die Welt hat sich seitdem deutlich geändert: Heute reden wir über Single-Sign-On, JWT, OAuth/OIDC, bei der Anmeldung ist neben dem klassischen Passwort ein zweiter Faktor in den Alltag eingezogen, und dank Passkeys gibt es inzwischen eine Alternative zum Passwort. War damals noch der Hinweis „vorsicht bei der Implementierung” angebracht, geht heute die Empfehlung in Richtung „nutzt geeignete Softwarekomponenten“. Der Vortrag schildert zunächst die Grundlagen und Probleme bei Login- und Sessionhandling und gibt einen Eindruck für die Komplexität des Themas. Anschließend wird gezeigt, wie Authentisierungsdienste wie z.B. Authelia, Authentik oder Kong genutzt werden können, um die Komplexität von der eigenen Anwendung möglichst fern zu halten.
Dr. Stefan Schlott
Dr. Stefan Schlott ist Advisory Consultant bei der Firma BeOne Stuttgart GmbH und betreut dort die Schwerpunkte Java-Entwicklung, Security sowie Themen rings um CI/CD und Containerplattformen. In seiner Freizeit ist er als Dozent an der Dualen Hochschule Baden-Württemberg aktiv. Er begeistert sich für funktionale Programmierung und moderne Sprachen wie Scala und Rust und ist überzeugter Open-Source'ler.