Wir hoffen, ihr seid gut und gesund ins neue Jahr gekommen! Wir freuen euch, wieder ein spannendes Vortragsprogramm bieten zu können. Diesmal wird uns Thomas Darimont in seinem Vortrag “Modern OAuth for Java Developers” die Neuerungen aus OAuth 2.1 vorstellen und wie man mit Standards wie FAPI die Interoperabilität zwischen System in einer föderierten Digital Identity Landschaften gewährleisten kann. In dem Vortrag lernen wir einen grundlegenden Überblick über das aktuelle OAuth Ökosystem und wie man Java Anwendungen so konfigurieren kann, dass sie den neuesten Standards entsprechen.
Wir freuen uns auf euren Besuch!
Talk & Slides will be in english.
/Abstract:DE
// english version below:
Standards wie OAuth 2.0 und OpenID Connect 1.0 sind ein zentraler Bestandteil für eine sichere Authentifizierung und Autorisierung im Internet. Durch veraltete Praktiken und subtile Fehlkonfigurationen sind jedoch viele Implementierungen anfällig für Angriffe. Das liegt oft an der Komplexität und den Risiken immer komplexerer Anwendungsfälle, wie Finanz-APIs, Social Media Plattformen mit Identitätsprüfungen und heterogenen App-Ökosystemen.
Die OAuth Working Group und die OpenID Foundation haben mit OAuth 2.1 und FAPI einen neuen Rahmen geschaffen der sicherere Ansätze fördert und unsichere Mechanismen wie den Implicit Grant ablehnen und neue Bedrohungen wie IdP Mix-Up-Angriffe adressieren, sowie interoperabilität in einer föderierten Identity infrastruktur garantieren.
Dieser Vortrag stellt den OAuth 2.1 Standard vor und zeigt die wichtigsten Sicherheits-Updates aus dem OAuth Security BCP (Best Current Practice) und erklärt, wie diese die Sicherheit von OAuth-Implementierungen verbessern. Darüber hinaus bieten wir einen Überblick zu FAPI und praktische Empfehlungen für robuste und moderne OAuth-Lösungen und zeigen auf, wie diese in modernen Java Anwendungen genutzt werden können.
/Abstract:EN
Standards such as OAuth 2.0 and OpenID Connect 1.0 are central components for secure authentication and authorisation on the internet. However, outdated practices and subtle misconfigurations make many implementations vulnerable to attacks. This is often due to the complexity and risks of increasingly complex use cases, such as financial APIs, social media platforms with identity checks and heterogeneous app ecosystems.
The OAuth Working Group and the OpenID Foundation have created a new framework with OAuth 2.1 and FAPI that promotes more secure approaches, rejects insecure mechanisms such as the implicit grant, addresses new threats such as IdP mix-up attacks, and guarantees interoperability in a federated identity infrastructure.
This presentation introduces the OAuth 2.1 standard and highlights the most important security updates from the OAuth Security BCP (Best Current Practice) and explains how these updates improve the security of OAuth implementations. In addition, we provide an overview of FAPI and practical recommendations for robust and modern OAuth solutions and show how they can be used in modern Java applications.
/Bio
Thomas Darimont works as a Digital Identity Consultant / Managing Director at his company Identity Tailor GmbH in Saarbrücken, where he helps customers with the implementation of modern digital identity management systems. Thomas is also part of the Conformance Testing team at the OpenID Foundation and an official Maintainer of the Keycloak OSS project.
In his spare time, he enjoys organising community meetups and working on open source projects such as Keycloak, Chicory and Extism and contributes to internet standards in various Working Groups. Thomas has been a consistent contributor for over ten years and has been an official maintainer in the Keycloak project since 2021.
