Pragmatic - Прикладна безпека веб-застосунків

Про курс

Курс вчить використовувати OAuth 2.0, OpenID Connect, JWT, Identity провайдерів для проєктування та імплементації end-to-end повного циклу автентифікації, авторизації, логауту, управління сесіями, identity brokering в сучасних веб-застосунках.

Під час занять ми детально розглядатимемо sequence та component діаграми, пов’язані з побудовою систем безпеки, аналізуватимемо приклади коду та вивчатимемо реальні кейси застосування цих підходів в enterprise-системах.

Вхідні вимоги

Курс для слухачів із досвідом веброзробки (від 2 років) та базовим умінням читати приклади коду на React і C#.

Програма курсу

Основи безпеки та OWASP Top 10

Основні концепції: ідентичність, автентифікація, авторизація, ролі, дозволи
Аналіз OWASP Top 10 вразливостей у веб та механізмів захисту
Огляд вимог до курсової роботи (проєктування системи автентифікації з подальшою реалізацією будь-якою мовою зі списку).

Заняття 1 27 серпня 2026 19:30

Механізми безпеки у веб-браузері

Який тип Cookies використовувати - HttpOnly, Secure, SameSite
Механізми SOP (Same-Origin Policy) та CORS (Cross-Origin Resource Sharing)
Налаштування механізму CORS. Як працюють preflight запити
Використання Content Security Policy (CSP)
Робота з Cookies, Local та Session сховищами для керування сесіями

Заняття 2 31 серпня 2026 19:30

Захист API. Система ролей та дозволів

Автентифікація в API: Basic, API ключі, OAuth 2.0
Проєктування системи ролей та дозволів (RBAC)
Застосування підходів Rate limiting та Throttling для API
Налаштування безпекових політик в API Gateway

Заняття 3 3 вересня 2026 19:30

Основи прикладної криптографії

Принципи хешування, роль "солі". Практичні сценарії застосування
Огляд алгоритмів хешування SHA та bcrypt. Побудова цифрового підпису
Принципи роботи симетричного та асиметричного шифрування
Які існують типові помилки у використанні криптографії

Заняття 4 7 вересня 2026 19:30

Протоколи OAuth 2.0 та OpenID Connect

Як працюють протоколи OAuth 2.0 та OpenID Connect
Сценарії застосування OAuth 2.0 Client Credentials Flow
Огляд та порівняння сучасних Identity Providers
Інтеграція веб-застосунку з Auth0 на практиці
Тихе оновлення сесії користувача (Silent Authentication)

Заняття 5 10 вересня 2026 19:30

Використання JWT Access та ID токенів

JWT Access та ID токени: налаштування, відмінності, практики використання
Контроль вмісту JWT з використанням post-login actions в Auth0
Валідація токенів на бекенді, перевірка підпису RS256 через JWKS
Відмінності Front-Channel та Back-Channel в OAuth 2.0
Використання PKCE для захисту Front-Channel комунікації

Заняття 6 14 вересня 2026 19:30

Refresh токени та життєвий цикл токенів

Refresh токени: структура, принципи дії, сценарії використання
Імплементація безперервної сесії без повторного логіну користувача
Контроль терміну дії та умов видачі refresh токенів в Auth0
Як відкликати скомпрометовані refresh токени

Заняття 7 17 вересня 2026 19:30

Механізм логауту та керування сесіями

Рівні сесій у веб-застосунках та їх взаємодія
Архітектура сесій у веб-застосунках: клієнтські, серверні, безстанові сесії
Як обирати підхід до управління сесіями на основі бізнес-вимог
Типові помилки при проєктуванні та реалізації логауту

Заняття 8 21 вересня 2026 19:30

Identity Brokering, Federated Authentication

Як працює механізм Single Sign-On
Як влаштований SAML: request, response, assertions, binding, metadata
Налаштування Auth0 як брокера між Microsoft Entra ID і веб-застосунком

Заняття 9 24 вересня 2026 19:30

Презентація курсового проєкту

Презентація курсового проєкту
Питання та відповіді

Заняття 10 28 вересня 2026 19:30

Відгуки

Yuliya Zhornyak

.NET Developer @SoftServe

Лекції проходять у комфортному темпі, а складні моменти розбираються детально та зрозуміло. Тому навіть для людей, які раніше не мали глибоких знань у цій темі, це чудова можливість поступово все зрозуміти й освоїти матеріал. Викладач є дуже компетентним і відкритим до запитань. Він ділиться власним практичним досвідом, пояснює нюанси, на які зазвичай не завжди звертають увагу, та завжди готовий допомогти знайти рішення.

Dmytro Mudrak

Senior .NET Developer

Курс не перевернув мій світ, але своє завдання виконав. Матеріал структурований, теми розкриті без зайвого води. Найбільше сподобався викладач Олександр. Живий, з ним можна було поговорити не тільки по темі - дав мені конкретні поради куди рухатись далі в сторону архітектури, що для мене виявилось цінніше за деякі лекції. Якщо хочете розібратись з авторизацією системно і мати поряд когось досвідченого - курс варто розглянути.

Erik Mirai

.NET Developer @SoftServe

Курс детально розбирає поняття безпеки у веб. В ході проходження курсу ви поступово знайомитесь із основними технологіями та поняттями і бачите як їх використовувати на практиці. Матеріал подається у доступній формі. Активні дискусії на занятті і чат, до якого є доступ в усіх учасників дозволяють обговорити і закрити усі додаткові запитання, що виникають.

Borys Kot

.NET Developer @SoftServe

Цей курс це набір найкращих практик для захисту веб застосунків. Найбільша цінність у тому що Олександр ділиться власними напрацюваннями з реальних проектів, одразу відчувається глибока експертиза в даному домені. Матеріал добре структурований, а практичні завдання допомагають розібратися зі складними концепціями безпеки. Мені як розробнику курс сподобався і зекономив купу часу порівняно із самостійним вивченням.

← Прокрутіть, щоб побачити більше відгуків →

Прикладна безпека веб-застосунків

Графік

Формат

Зайнятість

Ціна

Про курс

Вхідні вимоги

Про автора курсу та викладача

Олександр Марфут

Ваш результат

Програма курсу

Відгуки

Yuliya Zhornyak

Dmytro Mudrak

Erik Mirai

Borys Kot

Прикладна безпека веб-застосунків

Графік

Формат

Зайнятість

Ціна

Про курс

Вхідні вимоги

Про автора курсу та викладача

Олександр Марфут

Ваш результат

Програма курсу

Відгуки

Yuliya Zhornyak

Dmytro Mudrak

Erik Mirai

Borys Kot

Реєстрація