OAuth 2.1 und OpenID Connect für (Java-)Entwickler

OAuth 2 und OIDC wirklich verstehen – durch eigene Implementierung.

Die meisten Entwickler:innen nutzen OAuth 2 und OpenID Connect über Bibliotheken und Frameworks – und wissen dabei nicht genau, was dahinter passiert. Solange alles läuft, ist das kein Problem. Aber wenn etwas schiefgeht, wenn ein Token seltsam aussieht, ein Flow nicht funktioniert oder Sicherheitsfragen auftauchen, kommt man ohne tiefes Protokollverständnis nicht weit.

In diesem Workshop legen wir die Abstraktionsschicht beiseite. Wir implementieren die kompletten OAuth-2- und OIDC-Abläufe selbst in Java – von der Authentifizierung eines Benutzers über den Authorization Code Grant mit PKCE bis hin zur Verifikation eines signierten JWT im Resource Server. Wer die Details kennt, beherrscht das System.

Protokoll-tief. Java-hands-on. Von Deutschlands führendem Keycloak-Experten.

ℹ️ Was wir hier implementieren, übernimmt in der Produktion typischerweise eine OIDC-Bibliothek. Der Wert dieses Trainings liegt im Verständnis, nicht in der Wiederverwendung des Codes. Wer die Abläufe einmal selbst implementiert hat, debuggt schneller, trifft bessere Architekturentscheidungen und erkennt Sicherheitslücken, bevor sie entstehen.

Für wen ist dieses Training?

Dieser Workshop ist genau richtig für dich, wenn du…
  • …als Java-Entwickler:in OAuth 2 und OIDC wirklich verstehen willst – nicht nur nutzen,
  • …regelmäßig mit Tokens, Auth-Flows oder OIDC-Bibliotheken arbeitest und die Abläufe dahinter endlich durchdringen möchtest,
  • …Verantwortung für die Sicherheit von Authentifizierung und Autorisierung in deiner Anwendung trägst,
  • …Fehlern in OAuth-/OIDC-Flows auf den Grund gehen musst und dabei immer wieder an Grenzen stößt.
Vorkenntnisse im Bereich Authentifizierung und Autorisierung sind hilfreich, aber nicht zwingend. Aktuelle Java-Kenntnisse (JDK 17+) und der sichere Umgang mit einer Java-IDE sind Voraussetzung – wir schreiben den ganzen Tag Code.

Agenda

Grundlagen & Spezifikationen

  • OAuth 2 und OIDC Grundlagen: Grant Types, Access Token, ID Token, Refresh Token, JWT
  • Was ist neu in OAuth 2.1 gegenüber OAuth 2.0? Die wichtigsten Änderungen und Deprecations
  • Best Practices im Umgang mit Tokens – in serverseitigen und clientseitigen Anwendungen (SPA)

Implementierung – Hands-on in Java

  • Client: Benutzer-Authentifizierung über den Authorization Code Grant + PKCE (Proof Key for Code Exchange)
  • Resource Server: Verifikation von signierten JSON Web Tokens (JWT) inkl. automatischer Client-Selbstkonfiguration via OIDC Discovery Endpoint

Diskussion & Best Practices

  • Token-Handling: was darf wo gespeichert werden – und was nicht?
  • Do's & Don'ts beim Einsatz von Tokens in der Praxis
  • Häufige Sicherheitslücken und wie man sie vermeidet

Was du nach diesem Training kannst

  • ✅ Die Abläufe von OAuth 2.1 und OIDC im Detail erklären und nachvollziehen
  • ✅ Den Authorization Code Grant mit PKCE von Grund auf implementieren
  • ✅ Signierte JWTs im Resource Server korrekt verifizieren
  • ✅ Tokens in serverseitigen und clientseitigen Anwendungen sicher handhaben
  • ✅ Sicherheitslücken in OAuth-/OIDC-Implementierungen erkennen und vermeiden
  • ✅ OAuth-/OIDC-Fehlern gezielt auf den Grund gehen

Was du mitbringen solltest

  • Notebook/Laptop
  • Java-IDE nach Wahl (IntelliJ IDEA, Eclipse, VS Code, …)
  • JDK 17+
  • Internetzugang

Termine

Öffentliche Termine

  • Weitere Termine auf Anfrage.

Inhouse-Training für dein Team

Du möchtest das Training für dein gesamtes Team? Ich führe das Training auch als Inhouse Firmenschulung durch – zeitlich und inhaltlich auf eure Situation zugeschnitten.
Schreib mir einfach, ich antworte in der Regel innerhalb von 24 Stunden.

Kontakt

*
*
*
*
* = Pflichtfeld