Financial Grade Security mit Spring Security und DPoP
In vielen Architekturen wird für moderne Anwendungen ein separates Frontend als Webanwendung (SPA) eingesetzt.Für Authentifizierung und Autorisierung wird dann typischerweise ein Token entsprechend OAuth2 oder OIDC verwendet. Dieser Token stellt ein attraktives Angriffsziel dar. Zur Absicherung gibt es verschiedene Ansätze, jeweils mit spezifischen Implikationen.
In diesem Vortrag werden einige Ansätze vorgestellt und insbesondere der noch relative junge Ansatz "Demonstration Proof of Posession" (DPoP). Seine Eigenschaften und die Umsetzung mit Spring Security werden aufgezeigt.
Speaker
Thomas Kruse ist Geschäftsführer der trion development GmbH und unterstützt Unternehmen als Architekt, Coach und Trainer. Seine Schwerpunkte sind Java-basierte Webanwendungen sowie Cloud- und Container-Technologien. In seiner Freizeit engagiert er sich für Open-Source-Projekte und organisiert die Java User Group und die Frontend-Freunde in Münster.