Контакт

Прикладна безпека веб-застосунків

Опануйте повний цикл безпеки у веб: JWT, сесії, OAuth 2.0, SAML, SSO, Identity brokering, механізми безпеки у браузері

Зареєструватись на курс

Зручний графік

10 занять в Zoom, починаючи з 2 лютого 2026 р.

Багато практики

75% практики на заняттях та 50 годин домашньої роботи

Зворотний зв'язок

Перевірка домашніх завдань та розгорнутий відгук

Спільнота

Постійна підтримка в Slack протягом курсу

Про курс

Курс вчить використовувати OAuth 2.0, OpenID Connect, JWT, Identity провайдерів для проєктування та імплементації end-to-end процесів автентифікації, авторизації, логауту, управління сесіями, identity brokering в сучасних веб-застосунках.

Практика

Ви розробите курсовий проєкт: спочатку перетворите набір безпекових вимог на технічний дизайн, а потім реалізуєте його будь-якою мовою зі списку на вибір.

Вхідні вимоги

Курс розрахований на слухачів із досвідом веброзробки (від 2 років) та базовим умінням читати приклади коду на React і C#.

Фото автора

Про автора курсу та лектора

Олександр Марфут  LinkedIn

Application Architect @SoftServe

 

13+ років досвіду у розробці програмного забезпечення на посадах Senior Software Engineer, Technical Lead та Application Architect.

Результат

  • Вміння будувати автентифікацію та авторизацію з нуля.
  • Знання, як підібрати тип автентифікації залежно від бізнес-кейсу.
  • Глибоке розуміння протоколів OAuth 2.0 та OpenID Connect.
  • Вміння правильно зберігати та налаштовувати JWT (ID, Access, Refresh).
  • Навички роботи з Auth0 Identity провайдером.

 

Програма курсу

Заняття 1Основи безпеки та OWASP Top 10
  • Основні концепції: ідентичність, автентифікація, авторизація, ролі, дозволи
  • Аналіз OWASP Top 10 вразливостей у веб та механізмів захисту
  • Огляд навчального веб-проєкту. Огляд вимог курсової роботи

02.02.2026 20:00
Заняття 2Механізми безпеки у веб-браузері
  • Який тип Cookies використовувати - HttpOnly, Secure, SameSite
  • Механізми SOP (Same-Origin Policy) та CORS (Cross-Origin Resource Sharing)
  • Налаштування механізму CORS. Як працюють preflight запити
  • Використання Content Security Policy (CSP)
  • Робота з Cookies, Local та Session сховищами для керування сесіями

05.02.2026 20:00
Заняття 3Захист API. Система ролей та дозволів
  • Автентифікація в API: Basic, API ключі, OAuth 2.0
  • Проєктування системи ролей та дозволів (RBAC)
  • Застосування підходів Rate limiting та Throttling для API
  • Безпечне зберігання секретів у менеджерах секретів
  • Налаштування безпекових політик в API Gateway

09.02.2026 20:00
Заняття 4Основи прикладної криптографії
  • Принципи хешування, роль "солі". Практичні сценарії застосування
  • Огляд алгоритмів хешування SHA та bcrypt. Побудова цифрового підпису
  • Принципи роботи симетричного та асиметричного шифрування
  • Які існують типові помилки у використанні криптографії
  • Як працює HTTPS: TLS, сертифікати, handshake

12.02.2026 20:00
Заняття 5Протоколи OAuth 2.0 та OpenID Connect
  • Як працюють протоколи OAuth 2.0 та OpenID Connect
  • Сценарії застосування OAuth 2.0 Client Credentials Flow
  • Огляд та порівняння сучасних Identity Providers
  • Інтеграція веб-застосунку з Auth0 на практиці
  • Тихе оновлення сесії користувача (Silent Authentication)

16.02.2026 20:00
Заняття 6Використання JWT Access та ID токенів
  • JWT Access та ID токени: налаштування, відмінності, практики використання
  • Контроль вмісту JWT з використанням post-login actions в Auth0
  • Валідація токенів на бекенді, перевірка підпису RS256 через JWKS
  • Відмінності Front-Channel та Back-Channel в OAuth 2.0
  • Використання PKCE для захисту Front-Channel комунікації

19.02.2026 20:00
Заняття 7Refresh токени та життєвий цикл токенів
  • Refresh токени: структура, принципи дії, сценарії використання
  • Імплементація безперервної сесії без повторного логіну користувача
  • Контроль терміну дії та умов видачі refresh токенів в Auth0
  • Як відкликати скомпрометовані refresh токени

23.02.2026 20:00
Заняття 8Механізм логауту та керування сесіями
  • Рівні сесій у веб-застосунках та їх взаємодія
  • Архітектура сесій у веб-застосунках: клієнтські, серверні, безстанові сесії
  • Як обирати підхід до управління сесіями на основі бізнес-вимог
  • Front-Channel чи Back-Channel Logout для логауту користувача
  • Робота з JWT Logout токеном та sid клеймом при логауті
  • Типові помилки при проєктуванні та реалізації логауту

26.02.2026 20:00
Заняття 9Single Sign-On, SAML, Identity Brokering
  • Як працює механізм Single Sign-On
  • Як влаштований SAML: request, response, assertions, binding, metadata
  • Налаштування Auth0 як брокера між Microsoft Entra ID і веб-застосунком

02.03.2026 20:00
Заняття 10Презентація курсового проєкту
  • Презентація курсового проєкту групі
  • Питання та відповіді

05.03.2026 20:00

Ціна

$ 260
14 днів гарантії повернення грошей
  • Понад 15 годин живих лекцій в Zoom у невеликій групі
  • 9 домашніх завдань з перевіркою та розгорнутими відгуками
  • Необмежена кількість Q&A в Slack з лектором та групою
  • Доступ до записів лекцій та інших матеріалів протягом 1 року
  • Довічний доступ до закритої інженерної спільноти