Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 16.-18. Oktober 2018

heise devSec 2018 » Programm »

// JWTs – Best Practices und Techniken für Fortgeschrittene

In den letzten Jahren finden JSON und insbesondere JSON Web Tokens (JWTs) eine immer größere Verbreitung und gerade dann, wenn es um den (sicheren) Austausch von Daten über das Internet geht. Die meisten, die den Begriff JWT schon kennen, wissen, dass sich JWTs signieren und verschlüsseln lassen.

Doch in diesem Vortrag wollen wir uns einige komplexere Techniken aus dem Umgang mit JWTs genauer anschauen, die (noch) nicht sehr weit verbreitet sind. Nach einer Übersicht über einige Best Practices, die sich in der Praxis der letzten Jahren durchgesetzt haben, nehmen wir das Thema Proof of Possession bzw. Token Binding unter der Lupe.

Ein Teil der praktischen Beispiele, die den Vortrag begleiten werden, ist an Java und gängige Java-Frameworks angelehnt. Der theoretische Inhalt, der dabei vermittelt wird, ist jedoch zu 100% Plattform-unabhängig, und viele der Beispiele lassen sich auch ohne Referenz zu irgendeiner konkreten Programmiersprache oder sonstiger Plattform vermitteln. Der Vortrag wird sich nicht mit konkreten Code-Libraries auseinandersetzen; es geht viel mehr darum, fortgeschrittene Use Cases abstrakt zu schildern und diese dann zu erläutern.

Vorkenntnisse
* Stabile Grundlagenkenntnisse von RESTful APIs
* Gute Kenntnisse von Internetprotokollen (HTTP/s)

Lernziele
* Best Practices aus dem Umgang mit JWTs vermitteln
* Vor- (und Nach-)Teile vom Token Binding mit JWTs erläutern

// Georgi Kehaiov Georgi Kehaiov

ist als Berater bei der iC Consult GmbH im Bereich des Identity und Access Management unterwegs. Schon im Studium war er von der IT-Sicherheit und sauberen Softwarearchitekturen begeistert. Heute darf er sich bei seinen Kunden mit denselben Themen auseinandersetzen und dabei robuste und skalierbare Lösungen von der Konzeption über die Umsetzung bis hin zu einem ruhigen Betrieb begleiten.