тема 13
Безопасность
OWASP, OAuth 2.1, JWT, CSP, SSRF.
OAuth 2.1 и OIDC: делегированная авторизация без утечек
PKCE везде, exact redirect match, ротация refresh, sender-constrained токены. Пропуск любой обязательной проверки — CVE.
- 1 Что такое OAuth и почему пароли — не ответ
- 2 Authorization code flow с PKCE
- 3 Валидация ID-токена и управление JWKS-кешем
- 4 Ротация refresh-токенов и scope-based least privilege
- 5 Sender-constrained токены: DPoP и mTLS
- 6 OAuth в production: audience атаки, observability и реальные провалы
- 7 OAuth/OIDC: тест с выбором ответа
- 8 OAuth/OIDC: тест с краткими ответами
- 9 OAuth/OIDC: код-ревью
- 10 OAuth/OIDC: собери и проверь защищённый логин
Password hashing
Скоро — Безопасность веба
Secrets
Скоро — Безопасность веба
Supply chain
Скоро — Безопасность веба
- 1 Безопасность цепочки поставок: твоя реальная поверхность атаки — это зависимости
- 2 Supply-chain безопасность: тест с множественным выбором
- 3 Supply-chain безопасность: тест с краткими ответами
- 4 Supply-chain безопасность: чтение конфигов и пайплайнов
- 5 Supply-chain безопасность: укрепить пайплайн релиза от и до
Putting it together
Скоро — Безопасность веба
Теперь видно тему целиком.
Каждый юнит, от под землёй до орбиты. Безопасность — одно созвездие в атласе; одолей следующую тему и оно загорится рядом.