Möchten Sie mit Ihrem Team teilnehmen? Ab drei Personen profitieren Sie von unseren Gruppenrabatten! Direkt im Shop buchen!

JWTs – Best Practices und Techniken für Fortgeschrittene

In den letzten Jahren finden JSON und insbesondere JSON Web Tokens (JWTs) eine immer größere Verbreitung und gerade dann, wenn es um den (sicheren) Austausch von Daten über das Internet geht. Die meisten, die den Begriff JWT schon kennen, wissen, dass sich JWTs signieren und verschlüsseln lassen.

Doch in diesem Vortrag wollen wir uns einige komplexere Techniken aus dem Umgang mit JWTs genauer anschauen, die (noch) nicht sehr weit verbreitet sind. Nach einer Übersicht über einige Best Practices, die sich in der Praxis der letzten Jahren durchgesetzt haben, nehmen wir das Thema Proof of Possession bzw. Token Binding unter der Lupe.

Ein Teil der praktischen Beispiele, die den Vortrag begleiten werden, ist an Java und gängige Java-Frameworks angelehnt. Der theoretische Inhalt, der dabei vermittelt wird, ist jedoch zu 100% Plattform-unabhängig, und viele der Beispiele lassen sich auch ohne Referenz zu irgendeiner konkreten Programmiersprache oder sonstiger Plattform vermitteln. Der Vortrag wird sich nicht mit konkreten Code-Libraries auseinandersetzen; es geht viel mehr darum, fortgeschrittene Use Cases abstrakt zu schildern und diese dann zu erläutern.

Vorkenntnisse

* Stabile Grundlagenkenntnisse von RESTful APIs
* Gute Kenntnisse von Internetprotokollen (HTTP/s)

Lernziele

* Best Practices aus dem Umgang mit JWTs vermitteln
* Vor- (und Nach-)Teile vom Token Binding mit JWTs erläutern

Speaker

 

Georgi Kehaiov
Georgi Kehaiov ist als Berater bei der iC Consult GmbH im Bereich des Identity und Access Management unterwegs. Schon im Studium war er von der IT-Sicherheit und sauberen Softwarearchitekturen begeistert. Heute darf er sich bei seinen Kunden mit denselben Themen auseinandersetzen und dabei robuste und skalierbare Lösungen von der Konzeption über die Umsetzung bis hin zu einem ruhigen Betrieb begleiten.

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden