Spring Security
Schulung & Kurs

Entdecken Sie in unserem 2-tägigen Kurs praxisnah, wie Sie Spring Security 6 und 7 in modernen Spring-Boot-Architekturen einsetzen – von klassischen Webanwendungen bis zu SPA + Backend-for-Frontend (BFF). Neben den Grundlagen vertiefen wir OAuth 2.0, OpenID Connect, Token- und Session-basierte Sicherheit und zeigen Best Practices für den Einsatz mit Identity Providern wie Keycloak.

Spring Security ist ein leistungsstarkes und hochgradig anpassbares Authentifizierungs- und Autorisierungsframework aus dem Spring-Ökosystem. Es ist der De-facto-Standard für die Absicherung von Spring-basierten Anwendungen – von klassischen MVC-Apps bis hin zu APIs für Single Page Applications (SPA). Wie bei allen Spring-Projekten liegt die eigentliche Stärke von Spring Security darin, dass es sich flexibel an individuelle Sicherheitsanforderungen anpassen lässt.

In diesem komplett aktualisierten 2-tägigen Kurs lernen Sie Schritt für Schritt den Einsatz von Spring Security 6 und 7 im Umfeld von Spring- und Spring-Boot-Anwendungen. Wir behandeln nicht nur die zentralen Konzepte wie `SecurityFilterChain`, Autorisierung und Methodensicherheit, sondern legen einen besonderen Fokus auf OAuth 2.0, OpenID Connect sowie die Integration von Identity Providern (z. B. Keycloak).

Ein weiterer Schwerpunkt ist das Design moderner Sicherheitsarchitekturen für SPA + Backend-for-Frontend (BFF): Wie gehen Sie mit Tokens und Sessions um? Wie setzen Sie HttpOnly-Cookies korrekt ein? Wie schützen Sie Ihre APIs und Benutzer identitätszentriert? Dieser Kurs vermittelt Ihnen das notwendige Wissen, um Ihre Spring-basierten Anwendungen in realen Projekten effektiv und zukunftssicher zu schützen.

Kurse für Teams:

Gerne führen wir zugeschnittene Kurse für euer Team durch - vor Ort, remote oder in unseren Kursräumen.

In-House Kurs Anfragen

Kurstermine:

 

  Rolf Jufer  

Kursinhalt:


- Moderne Sicherheitsarchitektur mit Spring Security 6 & 7
... - Bedeutung von Sicherheit in heutigen Web- und Cloud-Anwendungen
... - Rolle von Spring Security im Spring-Ökosystem
... - Wichtige Änderungen seit Spring Security 5 (`SecurityFilterChain`, Lambda-DSL)

- Authentifizierung und Autorisierung in Spring Security
... - Unterscheidung zwischen Authentifizierung und Autorisierung
... - `SecurityContext`, `Authentication`, `GrantedAuthority` verstehen
... - Aufbau eines sauberen Rollen- und Berechtigungskonzepts

- Konfiguration von Spring Security
... - Java-basierte Konfiguration mit `SecurityFilterChain`
... - URL-/Request-basierte Autorisierung mit `AuthorizationManager` (z. B. `authorizeHttpRequests`) auf Endpoint-/URL-Ebene
... - Feingranulare Methodensicherheit mit `@PreAuthorize` & Co. auf Service-Ebene

- Benutzer- und Identity-Management
... - Benutzerverwaltung über Datenbank-Backends oder Verzeichnisdienste (z. B. LDAP/Active Directory)
... - `PasswordEncoder` und moderne Hashing-Verfahren (z. B. bcrypt)
... - Umgang mit `UserDetails` & Authorities

- Sessions, Cookies und Tokens
... - Session-basierte Sicherheit vs. Token-basierte Ansätze (JWT, Opaque Tokens)
... - `HttpOnly`, `SameSite`, `Secure` Cookies und ihre Bedeutung
... - CSRF-Schutz verstehen und korrekt konfigurieren

- OAuth 2.0 in Spring Security
... - Überblick über OAuth 2.0: Rollen, Flows und typische Use Cases
... - Authorization Code Flow (mit PKCE), Client Credentials & Co.
... - Spring Boot als OAuth2 Client und Resource Server

- OpenID Connect & Identity Provider
... - OpenID Connect als Identitätsschicht über OAuth 2.0
... - ID Token, UserInfo-Endpoint, Scopes und Claims verstehen
... - Integration eines Identity Providers (z. B. Keycloak) für Login und Single Sign-On (SSO)

- Patterns für SPA & APIs: Backend-for-Frontend (BFF)
... - Herausforderungen von Angular/React-SPAs (CORS, XSRF, Token-Leaks)
... - BFF mit Session vs. BFF mit Tokens (z. B. JWT in HttpOnly-Cookies)
... - Praktische Implementierung eines BFF mit Spring Boot und Spring Security

- Migration und Upgrade
... - Typische Stolpersteine beim Upgrade auf Spring Security 6 und 7
... - Strategien für bestehende Projekte (Legacy-Code vs. Greenfield)

- Best Practices und Sicherheitstipps
... - Defense-in-Depth, Least Privilege, sichere Defaults
... - Typische Fehlkonfigurationen erkennen und vermeiden
... - Empfehlungen für Produktion, Monitoring und Betrieb

- Q&A und abschliessende Diskussion

Wir konzentrieren uns auf die Vertiefung und das Verständnis einer spezifischen Auswahl von Themen und passen die Schwerpunkte an die Bedürfnisse der Teilnehmenden an (z. B. stärkere Fokussierung auf SPA/BFF oder klassische Webanwendungen).


Disclaimer: Der effektive Kursinhalt kann, abhängig vom Trainer, Durchführung, Dauer und Konstellation der Teilnehmer:innen von obigen Angaben abweichen.

Ob wir es Schulung, Kurs, Workshop, Seminar oder Training nennen, wir möchten Teilnehmer/innen an ihrem Punkt abholen und mit dem nötigen praktischen Wissen ausstatten, damit sie die Technologie nach der Schulung direkt anwenden und eigenständig vertiefen können.

Ziel:

In diesem 2-tägigen Kurs zu Spring Security 6 und 7 entwickeln die Teilnehmenden ein fundiertes Verständnis für moderne Sicherheitskonzepte in Spring-Anwendungen. Ziel ist es, dass Sie nach dem Kurs

- grundlegende und fortgeschrittene Sicherheitsmechanismen von Spring Security sicher anwenden können,
- den gezielten Einsatz von Sessions, Cookies und Tokens (z. B. JWT) verstehen,
- OAuth 2.0 und OpenID Connect mit Identity Providern wie Keycloak in Spring Boot integrieren können und
- geeignete Sicherheitsarchitekturen für klassische Webanwendungen, APIs, SPA + Backend-for-Frontend (BFF) entwerfen und umsetzen können.

Der Kurs legt einen starken Fokus auf praktische Anwendbarkeit, damit Sie das Gelernte direkt in Ihren eigenen Projekten umsetzen und bestehende Lösungen auf Spring Security 6 bzw. 7 migrieren können.


Dauer:

2 Tage (Wird bei In-House Kursen individuell angepasst.)


Form:

Bewährter Mix aus Erläuterung, Live-Coding und gemeinsamem Aufbau einer durchgängigen Kurs-Applikation (Spring Boot API + optional SPA + BFF) mit praktischem Fokus. Kurze Theorieblöcke werden direkt mit Übungen und Diskussionen verknüpft, damit die Teilnehmenden die Konzepte unmittelbar im Code nachvollziehen können.


Zielgruppe:

Die Zielgruppe dieses Kurses sind Softwareentwickler, Systemarchitekten und IT-Profis, die ihre Kenntnisse im Bereich der Anwendungssicherheit mit Schwerpunkt auf Spring Security vertiefen möchten. Der Kurs richtet sich an Teilnehmer,

- die bereits Erfahrung in der Entwicklung von Spring- oder Java-Anwendungen haben und
- moderne Sicherheitsarchitekturen mit OAuth 2.0, OpenID Connect sowie SPA/BFF-Mustern (z. B. für Angular/React-Frontends) verstehen und praktisch umsetzen wollen.


Voraussetzungen:

Erfahrung in der Entwicklung von Spring- oder Java-Anwendungen. Grundkenntnisse in HTTP, REST und JSON werden vorausgesetzt. Erste Berührungspunkte mit Sicherheitsthemen (z. B. Authentifizierung, Rollen, Sessions) sind hilfreich, aber nicht zwingend erforderlich.


Vorbereitung:

Jeder Teilnehmer erhält nach der Anmeldung einen Fragebogen und eine Installationsanleitung zugestellt. Passend zu den Antworten senden wir ein individuelles Feedback. Zudem stellen wir vorab eine Übersicht der benötigten Tools und Versionen (z. B. JDK, Spring Boot, IDE) zur Verfügung.

In-House Kurs anfragen:

In-House Kurs Anfragen

Trage dich in die Warteliste ein für weitere öffentliche Kurs-Termine. Sobald wir genügend Personen auf der Warteliste haben, klären wir einen möglichst für alle passenden Termin ab und schalten einen neuen Termin auf. Falls du direkt mit zwei Kollegen oder Kolleginnen teilnehmen möchtest, können wir sogar direkt einen öffentlichen Kurs für euch planen.

Warteliste

(Falls ihr bereits mehr 3 Teilnehmer:innen oder mehr habt, klären wir mit euch direkt euren Wunschtermin ab und schreiben den Kurs aus.)

Mehr über Spring Security



Die Inhalte werden laufend an die aktuellen Versionen von Spring Security (derzeit 6.x und 7.x) angepasst. Auf Wunsch können wir im Kurs spezifische Fragestellungen aus Ihren Projekten diskutieren (z. B. Migration bestehender Anwendungen, Integration eines bestimmten Identity Providers oder Bewertung verschiedener BFF-Varianten).




History


Spring Security entstand 2003 als Acegi Security , entwickelt von Ben Alex. Das Projekt wurde 2008 als Spring Security 2.0 offiziell in das Spring Portfolio integriert und von der Spring-Community unter der Leitung von Luke Taylor und Rob Winch weiterentwickelt.


Die Evolution von Spring Security durchlief mehrere wichtige Meilensteine: Version 3.x brachte umfassende Annotations-Unterstützung, Version 4.x führte moderne Java-Konfiguration ein, und Version 5.x revolutionierte das Framework mit OAuth 2.0/OpenID Connect-Integration und reaktiver Programmierung. Die aktuellen Versionen 6.x und 7.x setzen auf Lambda-DSL, SecurityFilterChain-API und verbesserte Observability.


Heute ist Spring Security der De-facto-Standard für Sicherheit in JVM-basierten Anwendungen und wird von Millionen von Entwicklern weltweit eingesetzt. Das Framework hat die Entwicklung moderner Sicherheitsarchitekturen massgeblich geprägt und unterstützt nahtlos Cloud-native Patterns, Microservices-Architekturen und moderne Identity-Provider-Integrationen wie Keycloak, Auth0 und Azure AD.