Контакт

Прикладна безпека веб-застосунків

Опануйте повний цикл безпеки у веб: JWT, сесії, OAuth 2.0, SAML, SSO, Identity brokering, механізми безпеки у браузері

Зареєструватись на курс

Зручний графік

10 занять в Zoom, починаючи з 2 лютого 2026 р.

Багато практики

75% практики на заняттях та 50 годин домашньої роботи

Зворотний зв'язок

Перевірка домашніх завдань та розгорнутий відгук

Спільнота

Постійна підтримка в Slack протягом курсу

Про курс

Практичний курс, який дає цілісне розуміння того, як працює сучасна веб-безпека зсередини. Ви опануєте автентифікацію та авторизацію (OAuth 2.0, OpenID Connect, JWT, RBAC), навчитеся працювати з Auth0 IdP і керувати життєвим циклом токенів — від логіну до логауту. Розберете криптографію, сесії, механізми безпеки у браузері тощо.

Цей курс для

веб-розробників, які хочуть навчитися впроваджувати комплексні механізми безпеки.
QA інженерів, які хочуть навчитись виявляти вразливості у веб-застосунках.
технічних PM'ів, які хочуть мати гарне розуміння безпекової складової продукту.

Чого ви навчитеся?

1  Проєктувати та імплементовувати процеси автентифікації та авторизації відповідно до вимог до програмного продукту.


2  Виявляти недоліки в існуючих механізмах безпеки та вміти їх вдосконалювати.


3  Працювати з широким спектром механізмів (cookies, local/session storage, хешування тощо) для вирішення робочих завдань, які пов'язані не тільки з безпекою.

 

Програма курсу

Заняття 1Основи безпеки та OWASP Top 10
  • Основні концепції: ідентичність, автентифікація, авторизація, ролі, дозволи
  • Аналіз OWASP Top 10 вразливостей у веб та механізмів захисту
  • Архітектура сесій у веб-застосунках: клієнтські, серверні, безстанові сесії
  • Як обирати підхід до управління сесіями на основі бізнес-вимог
  • Огляд навчального веб-проєкту. Огляд вимог курсової роботи

02.02.2026 20:00 - 21:30
Заняття 2Механізми безпеки у веб-браузері
  • Який тип Cookies використовувати - HttpOnly, Secure, SameSite, Partitioned
  • Механізми SOP (Same-Origin Policy) та CORS (Cross-Origin Resource Sharing)
  • Налаштування механізму CORS. Як працюють preflight запити
  • Використання Content Security Policy (CSP) та Subresource Integrity (SRI)
  • Робота з Cookies, Local та Session сховищами для керування сесіями

05.02.2026 20:00 - 21:30
Заняття 3Захист API. Система ролей та дозволів
  • Автентифікація в API: Basic, API ключі, OAuth 2.0
  • Проєктування системи ролей та дозволів (RBAC)
  • Застосування підходів Rate limiting та Throttling для API
  • Безпечне зберігання секретів у менеджерах секретів

09.02.2026 20:00 - 21:30
Заняття 4Основи прикладної криптографії
  • Принципи хешування, роль "солі". Практичні сценарії застосування
  • Огляд алгоритмів хешування SHA та bcrypt. Побудова цифрового підпису
  • Принципи роботи симетричного та асиметричного шифрування
  • Які існують типові помилки у використанні криптографії
  • Як працює HTTPS: TLS, сертифікати, handshake

12.02.2026 20:00 - 21:30
Заняття 5Протоколи OAuth 2.0 та OpenID Connect
  • Як працюють протоколи OAuth 2.0 та OpenID Connect
  • Як працює OAuth 2.0 Authorization Code Flow з PKCE
  • Сценарії застосування OAuth 2.0 Client Credentials Flow
  • Огляд та порівняння сучасних Identity Providers
  • Інтеграція веб-застосунку з Auth0 на практиці
  • Тихе оновлення сесії користувача (Silent Authentication)

16.02.2026 20:00 - 21:30
Заняття 6Використання JWT Access та ID токенів
  • JWT Access та ID токени: налаштування, відмінності, практики використання
  • Контроль вмісту JWT з використанням post-login actions в Auth0
  • Налаштування та використання клеймів subject, scope та audience
  • Валідація токенів на бекенді, перевірка підпису RS256 через JWKS
  • Порівняння моделей автентифікації на стороні клієнта та на стороні сервера

19.02.2026 20:00 - 21:30
Заняття 7Refresh токени та життєвий цикл токенів
  • Refresh токени: структура, принципи дії, сценарії використання
  • Імплементація безперервної сесії без повторного логіну користувача
  • Контроль терміну дії та умов видачі refresh токенів в Auth0
  • Як відкликати скомпрометовані refresh токени

23.02.2026 20:00 - 21:30
Заняття 8Механізм Log Out та керування сесіями
  • Рівні сесій у веб-застосунках та їх взаємодія
  • Проєктування локального та глобального логауту
  • Front-Channel чи Back-Channel Logout для логауту користувача
  • Робота з JWT Logout токеном та sid клеймом при логауті
  • Типові помилки при проєктуванні та реалізації логауту

26.02.2026 20:00 - 21:30
Заняття 9Single Sign-On, SAML, Identity Brokering
  • Як працює механізм Single Sign-On
  • Як влаштований SAML: request, response, assertions, binding, metadata
  • Налаштування Auth0 як брокера між Microsoft Entra ID і веб-застосунком

02.03.2026 20:00 - 21:30
Заняття 10Презентація курсового проєкту
  • Презентація курсового проєкту групі
  • Питання та відповіді

05.03.2026 20:00 - 21:30

Про автора курсу та лектора

Олександр Марфут  LinkedIn

Application Architect @SoftServe

  • 13+ років досвіду розробки програмного забезпечення на різних інженерних посадах
  • 2 роки досвіду викладання в IT-академіях та розробки комплексних навчальних програм
  • Автор десятків технічних статей, що мають понад 1 мільйон прочитань
Фото автора

Ціна

$ 260
14 днів гарантії повернення грошей
  • Понад 15 годин живих лекцій в Zoom у невеликій групі
  • 9 домашніх завдань з перевіркою та розгорнутими відгуками
  • Необмежена кількість Q&A в Slack з лектором та групою
  • Доступ до записів лекцій та інших матеріалів протягом 1 року
  • Довічний доступ до закритої інженерної спільноти