Start
Produkty
Programowanie
Autoryzacja i zarządzanie dostępem (OAuth2, JWT, Keycloak)

Autoryzacja i zarządzanie dostępem (OAuth2, JWT, Keycloak)

Współczesne aplikacje B2B i B2C wymagają bezpiecznego i skalowalnego mechanizmu uwierzytelniania oraz autoryzacji. Źle zaprojektowany system dostępu prowadzi do podatności bezpieczeństwa, problemów z integracją oraz trudności w zarządzaniu użytkownikami. Szkolenie Autoryzacja i zarządzanie dostępem (OAuth2, JWT, Keycloak) powstało po to, aby nauczyć zespoły projektować i wdrażać bezpieczne systemy logowania, SSO oraz kontroli uprawnień w architekturach nowoczesnych aplikacji.

Termin gwarantowany

Pierwotna cena wynosiła: 3500,00 PLN.Aktualna cena wynosi: 2449,00 PLN.

Widoczna cena nie zawiera podatku VAT (23%)
Certyfikat ukończenia
Dodatkowe materiały po szkoleniu
30 dniowe wsparcie szkoleniowca
Praktyczne zadania
Możliwość płatności w ratach (umowa bezpośrednio z Quality Island) – Pobierz wzór umowy

7 w magazynie (może być zamówiony)

Zobacz opinie o szkoleniu

Organizacja Dla kogo Czego się nauczysz Jak pracujemy Atuty szkoleń Wymagania wstępne Program kursu Możliwości finansowania Kroki FAQ

Autoryzacja to nie tylko logowanie użytkownika. To decyzje dotyczące:

modelu uprawnień
zarządzania tokenami
integracji z zewnętrznymi dostawcami tożsamości
ochrony API i mikroserwisów

Podczas szkolenia Autoryzacja i zarządzanie dostępem uczestnicy:

rozumieją standard OAuth2 i OpenID Connect
projektują system oparty o JWT
konfigurują i integrują Keycloak
wdrażają role i polityki dostępu
zabezpieczają API i komunikację między usługami

Szkolenie ma charakter warsztatowy, implementujemy i testujemy zabezpieczone API.

Organizacja

2 dni ( 2 x 7 h) w godzinach 8:00- 15:00
Dodatkowe materiały po szkoleniu
Certyfikat uczestnictwa
Nagranie z całego szkolenia (dodatkowo płatne)
30 dniowe wsparcie ekspertów
Praktyczne zadania
Wieloletni praktyk, ekspert w obszarze testów

Forma szkolenia
Szkolenie realizowane jest online (na żywo, na profesjonalnej platformie do pracy zdalnej ClickMeeting) lub stacjonarnie, w zależności od wybranego terminu. W obu przypadkach pracujemy warsztatowo, z aktywnym udziałem uczestników.
Czas trwania
Szkolenie trwa 2 dni ( 7godzin pracy warsztatowej), z przerwami. Skupiamy się na konkretach, bez „rozciągania programu”.
Poziom
Szkolenie jest przeznaczone dla poziomu junior → mid→ senior.

Dla kogo

To szkolenie jest dla Ciebie, jeśli:

jesteś backend developerem lub fullstack developerem
pracujesz w DevOps lub obszarze bezpieczeństwa
wdrażasz system SSO
projektujesz system B2B lub B2C
zarządzasz użytkownikami i rolami w systemie

To szkolenie nie jest dla Ciebie, jeśli:

nie pracujesz z backendem
szukasz wprowadzenia do podstaw HTTP
nie projektujesz systemów uwierzytelniania

Czego się nauczysz

Po szkoleniu będziesz potrafić:

rozumieć i wdrażać OAuth2 i OpenID Connect
projektować bezpieczny system JWT
konfigurować Keycloak
wdrażać role i polityki dostępu
zabezpieczać mikroserwisy
unikać typowych podatności bezpieczeństwa

Jak pracujemy

To szkolenie ma formę warsztatową. Pracujesz, testujesz i popełniasz błędy tu i teraz, dokładnie tak, jak w realnym projekcie.

Nasze podejście:

80% praktyki, konfiguracja i integracja systemu uwierzytelniania
analiza przepływu tokenów
implementacja zabezpieczonego API
symulacja ataków i błędów konfiguracji
dyskusja o kompromisach bezpieczeństwo vs wygoda
tłumaczenie „jak ta decyzja wpłynie na bezpieczeństwo systemu”

Atuty szkoleń

Praktyka zamiast teorii

Szkolenia prowadzą praktycy, którzy na co dzień pracują z jakością i testami.
Zero „hello world”, realne przypadki i problemy z projektów.

Elastyczne formy płatności

Raty 0%, płatność odroczona lub dofinansowanie z BUR.
Pomagamy dobrać najlepszą opcję, bez presji i zbędnych formalności.

Certyfikat potwierdzający realne kompetencje

Po szkoleniu otrzymujesz certyfikat w języku angielskim, możliwy do udostępnienia rekruterom i pracodawcom.
Zakres certyfikatu jasno opisuje zdobyte umiejętności.

Profesjonalna forma online

Interaktywne zajęcia na stabilnej platformie:
współdzielenie ekranu, Q&A, nagrania, materiały i aktywny kontakt z trenerem.

Wsparcie po szkoleniu

Nie zostawiamy Cię samego po ostatnim slajdzie.
Masz pytania po szkoleniu? Możesz do nas wrócić z konkretnym problemem.

Gwarancja zadowolenia

Jeśli szkolenie nie spełni Twoich oczekiwań, porozmawiamy.
A jeśli masz uzasadnione zastrzeżenia, zwracamy pieniądze.

Wymagania wstępne

znajomość HTTP i REST
doświadczenie w backendzie
podstawowa wiedza o architekturze aplikacji webowych
własny laptop z dostępem do internetu

Program kursu

Wprowadzenie do uwierzytelniania vs autoryzacji, różnice, pojęcia, kontekst

czym jest uwierzytelnianie (authentication), a czym autoryzacja (authorization)
identity vs access control
modele RBAC, ABAC, ACL
SSO i federacja tożsamości
podstawowe pojęcia: access token, ID token, refresh token
typowe błędy koncepcyjne w projektowaniu systemów logowania

Architektura OAuth 2.0, role (Client, Resource Owner, Authorization Server)

Resource Owner, kto jest właścicielem tożsamości
Client, aplikacja publiczna vs poufna
Authorization Server, wydawanie tokenów
Resource Server, ochrona zasobów
przepływ autoryzacji krok po kroku
różnica między trust boundary a security boundary

Typy grantów w OAuth 2.0, Authorization Code, Client Credentials, PKCE

Authorization Code Flow, dla aplikacji webowych
PKCE, ochrona aplikacji publicznych
Client Credentials, komunikacja machine- to- machine
dlaczego nie używać Implicit Flow
kiedy stosować który grant
zagrożenia związane z błędnym doborem flow

OpenID Connect, rozszerzenie OAuth2 do tożsamości użytkownika

czym jest OpenID Connect (OIDC)
ID Token vs Access Token
endpoint userinfo
discovery document (.well-known/ openid- configuration)
scope: openid, profile, email
integracja logowania federacyjnego (np. Google, Azure AD)

Tokeny JWT, budowa, dekodowanie, podpisywanie i weryfikacja

struktura JWT (header, payload, signature)
algorytmy podpisu (HS256, RS256)
weryfikacja podpisu po stronie API
claims standardowe (iss, sub, aud, exp, iat)
zagrożenia: token tampering, brak walidacji aud
różnica między JWT signed i encrypted

Scenariusze logowania użytkowników w aplikacjach webowych i mobilnych

logowanie w SPA (Authorization Code+ PKCE)
backend- for- frontend (BFF pattern)
aplikacje mobilne a redirect URI
komunikacja frontend → backend → authorization server
logowanie federacyjne
logout i invalidacja sesji

Zarządzanie sesjami i bezpieczeństwo tokenów, wygaśnięcie, odświeżanie, przechowywanie

access token vs refresh token
rotacja refresh tokenów
przechowywanie tokenów (httpOnly cookies vs localStorage)
ochrona przed XSS i CSRF
krótkie TTL jako element bezpieczeństwa
unieważnianie tokenów (revocation endpoint)

Wprowadzenie do Keycloak, instalacja, konfiguracja, zarządzanie użytkownikami i rolami

instalacja lokalna (Docker)
konfiguracja realm
tworzenie klientów (public/ confidential)
definiowanie ról i grup
mapowanie ról do tokenów
konfiguracja polityk dostępu

Integracja aplikacji z Keycloak (np. Spring Boot/ Node.js/ frontend)

zabezpieczenie API w Spring Boot
middleware w Node.js (keycloak-connect/ passport)
integracja SPA z Keycloak
weryfikacja JWT w Resource Server
konfiguracja CORS i redirect URIs
debugowanie problemów autoryzacyjnych

Dobre praktyki i checklisty bezpieczeństwa dla autoryzacji i zarządzania dostępem

minimalizacja zakresów (scopes)
zasada najmniejszych uprawnień
walidacja tokenów po stronie backendu
rotacja kluczy podpisujących (JWKS)
ochrona endpointów administracyjnych
checklisty bezpieczeństwa przed wdrożeniem produkcyjnym
monitoring prób nieautoryzowanego dostępu

Wiele możliwości finansowania szkoleń i kursów

Środki własne

Opłać szkolenie od razu, szybko i bez formalności.
Przelew online, BLIK lub karta. Bez prowizji i ukrytych kosztów.

Płatność ratalna

Rozłóż płatność na raty 0%, bez dodatkowych opłat.
Każdą kwotę powyżej 2000 zł możesz podzielić nawet na 6 rat.

Odroczona płatność

Zapisz się dziś, zapłać dopiero za 3 miesiące.
Elastyczne podejście, w razie potrzeby możemy czasowo wstrzymać płatność.

Dofinansowanie Z BUR

Szkolenie może być objęte dofinansowaniem w ramach BUR, zazwyczaj 50- 80% kosztów.
Pomagamy sprawdzić możliwości i prowadzimy przez formalności krok po kroku.

Czytaj więcej

Szkolenie w 5 krokach

Prosty zapis na szkolenie

Wybierasz termin szkolenia i zapisujesz się w kilka sekund.
Bez skomplikowanych formularzy i zbędnych formalności.

Wybór formy płatności

Decydujesz, jak chcesz zapłacić:
jednorazowo, w ratach 0%, z odroczoną płatnością lub z dofinansowaniem (np. BUR).
Jeśli trzeba, pomagamy dobrać najlepszą opcję.

Przygotowanie do szkolenia

Przed szkoleniem otrzymujesz informacje organizacyjne i wskazówki techniczne.
Dzięki temu wchodzisz na szkolenie przygotowany, bez stresu i improwizacji.

Udział w szkoleniu (praktyka)

Bierzesz udział w intensywnym, praktycznym szkoleniu.
Celem szkolenia jest wdrożenie bezpiecznej i skalowalnej architektury autoryzacji, a nie tylko poznanie teorii.

Materiały i dalsze wsparcie

Po szkoleniu otrzymujesz materiały oraz certyfikat.
Opcjonalnie możesz dokupić nagranie szkolenia i wracać do materiału, kiedy chcesz.
W razie pytań, jesteśmy dostępni także po zakończeniu szkolenia.

Najczęściej zadawane pytania

Czy szkolenie obejmuje Keycloak w praktyce?

Tak, konfiguracja i integracja.

Czy omawiamy OAuth2 i OpenID Connect?

Tak, w praktycznym kontekście.

Czy poruszamy temat SSO i federacji tożsamości?

Tak.

Czy szkolenie jest techniczne?

Tak, skupione na implementacji.

Czy omawiamy role i polityki dostępu?

Tak, w kontekście RBAC i ABAC.

Czy poruszamy temat mikroserwisów?

Tak, w kontekście zabezpieczania komunikacji.

Czy dostępne jest nagranie?

Tak, jako opcja dodatkowo płatna.

Czy szkolenie można dopasować do organizacji?

Tak, szczególnie przy wdrażaniu SSO.

Czy omawiamy JWT w szczegółach?

Tak, wraz z analizą struktury tokena.

Czy szkolenie pomoże poprawić bezpieczeństwo systemu?

Tak, szczególnie w kontekście autoryzacji i kontroli dostępu.

Masz pytania? Porozmawiajmy o szkoleniu

Nie masz pewności, czy to szkolenie jest dla Ciebie? Zastanawiasz się, czy poziom będzie odpowiedni, jak wygląda program albo która forma finansowania ma sens w Twoim przypadku?

Porozmawiaj z naszym konsultantem, który: