Контакт

Прикладна безпека веб-застосунків

Опануйте повний цикл безпеки у веб: JWT, сесії, OAuth 2.0, SAML, SSO, Identity brokering, механізми безпеки у браузері

Зареєструватись на курс

Графік

30 липня - 30 серпня 2026
Понеділок та четвер (19:30)

Формат

Зустрічі в Zoom (+запис)

Постійний зв'язок у Slack

Зайнятість

10 занять по 1.5 години

≈35 годин ДЗ

Ціна

270$ за курс

Манібек 7 днів

Про курс

Курс вчить використовувати OAuth 2.0, OpenID Connect, JWT, Identity провайдерів для проєктування та імплементації end-to-end повного циклу автентифікації, авторизації, логауту, управління сесіями, identity brokering в сучасних веб-застосунках.


Під час занять ми детально розглядатимемо sequence та component діаграми, пов’язані з побудовою систем безпеки, аналізуватимемо приклади коду та вивчатимемо реальні кейси застосування цих підходів в enterprise-системах.

Вхідні вимоги

Курс для слухачів із досвідом веброзробки (від 2 років) та базовим умінням читати приклади коду на React і C#.

Фото автора

Про автора курсу та викладача

Олександр Марфут  LinkedIn Telegram

Application Architect @SoftServe

 

З комерційним досвідом проєктування та впровадження автентифікації й авторизації в мікросервісних системах із використанням Auth0, Microsoft Entra ID та Ory Kratos Identity провайдерів.


Ваш результат

  • Вміння будувати автентифікацію та авторизацію з нуля.
  • Знання, як підібрати тип автентифікації залежно від бізнес-кейсу.
  • Розуміння роботи протоколів OAuth 2.0 та OpenID Connect.
  • Вміння правильно зберігати та налаштовувати JWT (ID, Access, Refresh).
  • Навички роботи з Auth0 Identity провайдером.

 

Програма курсу

Основи безпеки та OWASP Top 10
  • Основні концепції: ідентичність, автентифікація, авторизація, ролі, дозволи
  • Аналіз OWASP Top 10 вразливостей у веб та механізмів захисту
  • Огляд вимог до курсової роботи (проєктування системи автентифікації з подальшою реалізацією будь-якою мовою зі списку).

Заняття 1 30.07.2026 19:30
Механізми безпеки у веб-браузері
  • Який тип Cookies використовувати - HttpOnly, Secure, SameSite
  • Механізми SOP (Same-Origin Policy) та CORS (Cross-Origin Resource Sharing)
  • Налаштування механізму CORS. Як працюють preflight запити
  • Використання Content Security Policy (CSP)
  • Робота з Cookies, Local та Session сховищами для керування сесіями

Заняття 2 03.08.2026 19:30
Захист API. Система ролей та дозволів
  • Автентифікація в API: Basic, API ключі, OAuth 2.0
  • Проєктування системи ролей та дозволів (RBAC)
  • Застосування підходів Rate limiting та Throttling для API
  • Налаштування безпекових політик в API Gateway

Заняття 3 06.08.2026 19:30
Основи прикладної криптографії
  • Принципи хешування, роль "солі". Практичні сценарії застосування
  • Огляд алгоритмів хешування SHA та bcrypt. Побудова цифрового підпису
  • Принципи роботи симетричного та асиметричного шифрування
  • Які існують типові помилки у використанні криптографії

Заняття 4 10.08.2026 19:30
Протоколи OAuth 2.0 та OpenID Connect
  • Як працюють протоколи OAuth 2.0 та OpenID Connect
  • Сценарії застосування OAuth 2.0 Client Credentials Flow
  • Огляд та порівняння сучасних Identity Providers
  • Інтеграція веб-застосунку з Auth0 на практиці
  • Тихе оновлення сесії користувача (Silent Authentication)

Заняття 5 13.08.2026 19:30
Використання JWT Access та ID токенів
  • JWT Access та ID токени: налаштування, відмінності, практики використання
  • Контроль вмісту JWT з використанням post-login actions в Auth0
  • Валідація токенів на бекенді, перевірка підпису RS256 через JWKS
  • Відмінності Front-Channel та Back-Channel в OAuth 2.0
  • Використання PKCE для захисту Front-Channel комунікації

Заняття 6 17.08.2026 19:30
Refresh токени та життєвий цикл токенів
  • Refresh токени: структура, принципи дії, сценарії використання
  • Імплементація безперервної сесії без повторного логіну користувача
  • Контроль терміну дії та умов видачі refresh токенів в Auth0
  • Як відкликати скомпрометовані refresh токени

Заняття 7 20.08.2026 19:30
Механізм логауту та керування сесіями
  • Рівні сесій у веб-застосунках та їх взаємодія
  • Архітектура сесій у веб-застосунках: клієнтські, серверні, безстанові сесії
  • Як обирати підхід до управління сесіями на основі бізнес-вимог
  • Front-Channel чи Back-Channel Logout для логауту користувача
  • Робота з JWT Logout токеном та sid клеймом при логауті
  • Типові помилки при проєктуванні та реалізації логауту

Заняття 8 24.08.2026 19:30
Single Sign-On, SAML, Identity Brokering
  • Як працює механізм Single Sign-On
  • Як влаштований SAML: request, response, assertions, binding, metadata
  • Налаштування Auth0 як брокера між Microsoft Entra ID і веб-застосунком

Заняття 9 27.08.2026 19:30
Презентація курсового проєкту
  • Презентація курсового проєкту групі -
  • Питання та відповіді

Заняття 10 31.08.2026 19:30