Architektur & SicherheitHow to log in
Abstract
Wed 9:50 - 10:35 Uhr | 2024
Vor 10 Jahren hielt ich einen Vortrag, welche Details man bei der Implementierung einer Login-Funktion beachten muss… oh boy, we’ve come a long way since then! Zeit für ein Update!
Die Welt hat sich seitdem deutlich geändert: Heute reden wir über Single-Sign-On, JWT, OAuth/OIDC, bei der Anmeldung ist neben dem klassischen Passwort ein zweiter Faktor in den Alltag eingezogen, und dank Passkeys gibt es inzwischen eine Alternative zum Passwort. War damals noch der Hinweis “vorsicht bei der Implementierung” angebracht, geht heute die Empfehlung in Richtung “nutzt geeignete Softwarekomponenten”.
Der Vortrag schildert zunächst die Grundlagen und Probleme bei Login- und Sessionhandling und gibt einen Eindruck für die Komplexität des Themas. Im zweiten Teil betrachten wir die Verwendung von Identity Providern bzw. Authentisierungs-Proxies, um die Komplexität von der eigenen Anwendung möglichst fern zu halten. Exemplarisch wird die Integration einer Webanwendung mit dem Identity Provider Authentik und alternativ dem Authentisierungs-Proxy Apache APISIX vorgestellt.
Dr. Stefan Schlott ist Advisory Consultant bei der Firma BeOne Stuttgart GmbH und betreut dort die Schwerpunkte Java-Entwicklung, S ecurity sowie Themen rings um CI/CD und Containerplattformen. In seiner Freizeit ist er als Dozent an der Dualen Hochschule Baden-W ürttemberg aktiv. Er begeistert sich für funktionale Programmierung und moderne Sprachen wie Scala und Rust und ist überzeugter Ope n-Source’ler.