ПРИКЛАДНА БЕЗПЕКА ВЕБ-ЗАСТОСУНКІВ

Опануйте повний цикл безпеки у веб: JWT, сесії, OAuth 2.0, SAML, SSO, Identity brokering

ЗАРЕЄСТРУВАТИСЬ НА КУРС

Графік

19 жовтня 2026 - 19 листопада 2026
Понеділок та четвер (19:30)

Формат

Зустрічі в Zoom (+запис)

Постійний зв'язок у Slack

Зайнятість

10 занять по 1.5 години

≈35 годин ДЗ

Ціна

270$ за курс

Манібек 7 днів

ПРО КУРС

Курс вчить використовувати OAuth 2.0, OpenID Connect, JWT, Identity провайдерів для проєктування та імплементації end-to-end повного циклу автентифікації, авторизації, логауту, управління сесіями, identity brokering в сучасних веб-застосунках.


Під час занять ми детально розглядатимемо sequence та component діаграми, пов’язані з побудовою систем безпеки, аналізуватимемо приклади коду та вивчатимемо реальні кейси застосування цих підходів в enterprise-системах.

Вхідні вимоги

Курс для слухачів із досвідом веброзробки (від 2 років) та базовим умінням читати приклади коду на React і C#.

ПРОГРАМА КУРСУ

Основи безпеки та OWASP Top 10
  • Основні концепції: ідентичність, автентифікація, авторизація, ролі, дозволи
  • Аналіз OWASP Top 10 вразливостей у веб та механізмів захисту
  • Огляд вимог до курсової роботи (проєктування системи автентифікації з подальшою реалізацією будь-якою мовою зі списку).

Заняття 1 19 жовтня 2026 19:30
Механізми безпеки у веб-браузері
  • Який тип Cookies використовувати - HttpOnly, Secure, SameSite
  • Механізми SOP (Same-Origin Policy) та CORS (Cross-Origin Resource Sharing)
  • Налаштування механізму CORS. Як працюють preflight запити
  • Використання Content Security Policy (CSP)
  • Робота з Cookies, Local та Session сховищами для керування сесіями

Заняття 2 22 жовтня 2026 19:30
Захист API. Система ролей та дозволів
  • Автентифікація в API: Basic, API ключі, OAuth 2.0
  • Проєктування системи ролей та дозволів (RBAC)
  • Застосування підходів Rate limiting та Throttling для API
  • Налаштування безпекових політик в API Gateway

Заняття 3 26 жовтня 2026 19:30
Основи прикладної криптографії
  • Принципи хешування, роль "солі". Практичні сценарії застосування
  • Огляд алгоритмів хешування SHA та bcrypt. Побудова цифрового підпису
  • Принципи роботи симетричного та асиметричного шифрування
  • Які існують типові помилки у використанні криптографії

Заняття 4 29 жовтня 2026 19:30
Протоколи OAuth 2.0 та OpenID Connect
  • Як працюють протоколи OAuth 2.0 та OpenID Connect
  • Сценарії застосування OAuth 2.0 Client Credentials Flow
  • Огляд та порівняння сучасних Identity Providers
  • Інтеграція веб-застосунку з Auth0 на практиці
  • Тихе оновлення сесії користувача (Silent Authentication)

Заняття 5 2 листопада 2026 19:30
Використання JWT Access та ID токенів
  • JWT Access та ID токени: налаштування, відмінності, практики використання
  • Контроль вмісту JWT з використанням post-login actions в Auth0
  • Валідація токенів на бекенді, перевірка підпису RS256 через JWKS
  • Відмінності Front-Channel та Back-Channel в OAuth 2.0
  • Використання PKCE для захисту Front-Channel комунікації

Заняття 6 5 листопада 2026 19:30
Refresh токени та життєвий цикл токенів
  • Refresh токени: структура, принципи дії, сценарії використання
  • Імплементація безперервної сесії без повторного логіну користувача
  • Контроль терміну дії та умов видачі refresh токенів в Auth0
  • Як відкликати скомпрометовані refresh токени

Заняття 7 9 листопада 2026 19:30
Механізм логауту та керування сесіями
  • Рівні сесій у веб-застосунках та їх взаємодія
  • Архітектура сесій у веб-застосунках: клієнтські, серверні, безстанові сесії
  • Як обирати підхід до управління сесіями на основі бізнес-вимог
  • Типові помилки при проєктуванні та реалізації логауту

Заняття 8 12 листопада 2026 19:30
Identity Brokering, Federated Authentication
  • Як працює механізм Single Sign-On
  • Як влаштований SAML: request, response, assertions, binding, metadata
  • Налаштування Auth0 як брокера між Microsoft Entra ID і веб-застосунком

Заняття 9 16 листопада 2026 19:30
Презентація курсового проєкту
  • Презентація курсового проєкту
  • Питання та відповіді

Заняття 10 19 листопада 2026 19:30

ВАШ РЕЗУЛЬТАТ

  • Вміння будувати автентифікацію та авторизацію з нуля.
  • Знання, як підібрати тип автентифікації залежно від бізнес-кейсу.
  • Розуміння роботи протоколів OAuth 2.0 та OpenID Connect.
  • Вміння правильно зберігати та налаштовувати JWT (ID, Access, Refresh).
  • Навички роботи з Auth0 Identity провайдером.
Схема потоку автентифікації та авторизації веб-застосунку

ПРО ВИКЛАДАЧА

Фото автора

Олександр Марфут  LinkedIn Telegram

Technical Architect @SoftServe

Software Architect та Technical Leader з понад 15 роками досвіду проєктування cloud-native та enterprise-систем. Спеціалізуюся на архітектурі хмарних рішень (Azure, AWS), модернізації legacy-систем, розподілених системах та AI-трансформації бізнесу. Маю практичний досвід супроводу проєктів на всіх етапах — від pre-sales та discovery до production delivery. Окремий напрям моєї діяльності — викладання та розвиток інженерів: понад 5 років досвіду створення навчальних програм, проведення тренінгів і менторства.

ВІДГУКИ

Відгуки інженерів, які застосовують здобуті знання у своїй роботі.

← Прокрутіть, щоб побачити більше відгуків →