کدنویسی امن در Java و Spring Boot: ساخت اپلیکیشن‌های تاب‌آور

معرفی
سرفصل

✅ سرفصل و جزئیات آموزش

آنچه یاد خواهید گرفت:

درک اصول کدنویسی امن در Java
محافظت از REST APIها با استفاده از بهترین شیوه‌های Spring Boot
پیاده‌سازی احراز هویت و مجوزدهی با JWT و OAuth2
استفاده از Spring Security برای کنترل دسترسی و محافظت
جلوگیری از SQL Injection با استفاده از JPA و Hibernate
کاهش حملات Cross-Site Scripting (XSS)
درک و دفاع در برابر Cross-Site Request Forgery (CSRF)
مدیریت امن سشن‌ها و کوکی‌ها
به‌کارگیری رمزگذاری و هشینگ (مانند AES ،bcrypt)
ذخیره‌سازی امن داده‌های محرمانه و پیکربندی
پیاده‌سازی کنترل دسترسی مبتنی بر نقش و مجوز
پیکربندی و اجرای صحیح سیاست‌های CORS
اعتبارسنجی و پاک‌سازی موثر ورودی کاربر
شناسایی و رفع آسیب‌پذیری‌های امنیتی رایج در کد
OWASP Top 10
Resilience4j + Spring Boot
چگونگی نوشتن کدهای تاب‌آور
لود بالانسینگ
الگوهای میکروسرویس
به‌کارگیری اصول چرخه عمر توسعه امن (Secure SDLC)

پیش نیازهای دوره

درک قوی از Java (جاوا 8 یا بالاتر)
تجربه مقدماتی با Spring Boot
آشنایی با REST APIها
دانش Maven یا Gradle
درک اولیه از معماری وب اپلیکیشن
راحتی در استفاده از Git و کنترل نسخه
دانش مقدماتی HTTP ،JSON و XML
تمایل به یادگیری بهترین شیوه‌های کدنویسی امن

توضیحات دوره

کدنویسی امن در Java و Spring Boot راهنمای نهایی برای توسعه‌دهندگانی است که می‌خواهند با استفاده از ابزارهای استاندارد صنعت و بهترین شیوه‌ها، اپلیکیشن‌های امن و آماده برای محیط پروداکشن بنویسند. امنیت دیگر اختیاری نیست - بلکه بخش حیاتی از مهارت‌های هر توسعه‌دهنده است. این دوره دانش عمیق و عملی مورد نیاز برای نوشتن کدی را به شما می‌دهد که بتواند از خود دفاع کند.

شما یاد خواهید گرفت که چگونه از اپلیکیشن‌های Java و Spring Boot خود در برابر خطرناک‌ترین آسیب‌پذیری‌ها محافظت کنید: SQL injection ،XSS CSRF، دی‌سریلایزیشن ناامن، پیکربندی غلط احراز هویت، کنترل دسترسی شکسته و موارد دیگر. شما فراتر از تئوری خواهید رفت، هر موضوع با مثال‌های عملی و سناریوهای دنیای واقعی پشتیبانی می‌شود.

چه چیزی این دوره را متفاوت می‌کند؟

این دوره توسط Andrii Piatakha، یکی از پرفروش‌ترین مدرسان یودمی با بیش از 1,000,000 دانشجو در سراسر جهان طراحی شده است. Andrii به خاطر متدولوژی منحصر‌به‌فرد و اثبات‌‌شده‌اش شناخته می‌شود که ترکیبی عالی از توضیحات تئوری شفاف و تمرین‌های عملی عمیق است. سبک تدریس او به دانشجویان کمک می‌کند تا مفاهیم پیچیده امنیتی را از طریق انجام دادن، و نه فقط حفظ کردن، درونی کنند.

شما فقط یاد نخواهید گرفت که چطور از کد ناامن اجتناب کنید - بلکه یاد خواهید گرفت چطور اپلیکیشن‌های Java و Spring Boot امن، کارآمد و قابل نگهداری بنویسید که آماده محیط پروداکشن بوده و با استانداردهای امنیتی مدرن مانند OWASP Top 10 مطابقت داشته باشند.

شما یاد خواهید گرفت چگونه:

احراز هویت قوی و کنترل دسترسی مبتنی بر نقش را با Spring Security پیاده‌سازی کنید.
از APIها با JWT ،OAuth2 و مدیریت امن توکن محافظت کنید
با استفاده از JPA ،Hibernate و کوئری‌های پارامتریک از SQL injection جلوگیری کنید.
از حملات Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) اجتناب کنید.
از رمزگذاری و هشینگ (مانند AES ،bcrypt) به روش صحیح استفاده کنید.
ارتباطات و پیکربندی میکروسرویس‌ها را ایمن کنید.
ورودی کاربر را به‌طور موثر اعتبارسنجی و پاک‌سازی کنید.
آپلود فایل امن را مدیریت کرده و از حملات تزریق جلوگیری کنید.
اعتبارنامه‌ها و داده‌های محرمانه را به صورت ایمن ذخیره کنید.
اصول چرخه عمر توسعه امن (SDLC) را به کار بگیرید.
از ابزارهای خودکار برای شناسایی آسیب‌پذیری‌ها در کد و وابستگی‌های خود استفاده کنید.

این دوره برای چه کسانی است؟

چه توسعه‌دهنده بک‌اند، رهبر فنی، مهندس نرم‌افزار یا متخصص DevSecOps باشید - اگر با Java و Spring Boot کار می‌کنید، این دوره برای شماست. شما مهارت‌هایی را کسب خواهید کرد که بلافاصله قابل اجرا هستند تا وضعیت امنیتی خود را ارتقا داده و ریسک را در اپلیکیشن‌هایتان کاهش دهید.

تا پایان این دوره، شما نه تنها چگونگی جلوگیری از مهم‌ترین مسائل امنیتی در Java و Spring Boot را درک خواهید کرد، بلکه اعتماد به نفس لازم برای ساخت اپلیکیشن‌های امن از روز اول را نیز خواهید داشت.

به بیش از 1 میلیون توسعه‌دهنده بپیوندید که با دوره‌های Andrii Piatakha سطح خود را ارتقا داده‌اند. نوشتن کد امن را همین امروز شروع کنید.

این دوره برای چه کسانی مناسب است؟

توسعه‌دهندگان Java که می‌خواهند کدهای امن بنویسند.
توسعه‌دهندگان Spring Boot که به دنبال ارتقای امنیت اپلیکیشن هستند.
مهندسان بک‌اند که مسئول محافظت از API هستند.
مهندسان نرم‌افزار که روی اپلیکیشن‌های سازمانی Java کار می‌کنند.
توسعه‌دهندگانی که برای نقش‌های متمرکز بر امنیت آماده می‌شوند.
تیم‌هایی که در حال اتخاذ روش‌های چرخه عمر توسعه امن هستند.
رهبران فنی که استانداردهای کدنویسی و دستورالعمل‌های امنیتی را اجرا می‌کنند.
مهندسان DevOps علاقه‌مند به روش‌های استقرار امن
مهندسان QA که آسیب‌پذیری‌های امنیتی را تست می‌کنند.
هر کسی که قصد دارد از مسائل امنیتی رایج در پروژه‌های Java و Spring Boot جلوگیری کند.

کدنویسی امن در Java و Spring Boot: ساخت اپلیکیشن‌های تاب‌آور

فصل 1: مقدمه

برنامه ارتباطی 04:10

فصل 2: OWASP Top 10 2021

OWASP Top 10: نمای کلی 18:47
کنترل دسترسی شکسته 35:21
نقص‌های رمزنگاری (تئوری، داده‌های حساس، نشت داده، انواع نقص‌ها) 12:58
نقص‌های رمزنگاری (مثال‌های عملی، تزریق SQL، پروتکل‌های TLS/SSL ،HTTPS) 19:16
نقص‌های رمزنگاری (مثال‌ها، رمزگذاری پسورد، Hashing ،Salting) 17:36
تزریق (بررسی، Fuzzing ،CWEها، تأثیر، انواع تزریق و Command Injection) 15:21
تزریق (Cross Site Scripting، انواع XSS، تزریق‌های SQL ،JPA و NoSQL) 16:29
تزریق (تزریق XPath، تزریق Log، اعتبارسنجی ورودی) 16:02
طراحی ناامن (نمای کلی، CWEها، امنیت Shift Left، مانیفست مدل‌سازی تهدید) 19:41
طراحی ناامن (فرآیند طراحی امن، کنترل‌های امنیتی، معیارها، مثال‌ها) 22:58
پیکربندی امنیتی نادرست (بررسی، CWEها، انواع، حملات واقعی) 20:16
پیکربندی امنیتی نادرست (مقاوم‌سازی، Zero Trust، دفاع در عمق، تمرین) 29:02
کامپوننت‌های آسیب‌پذیر و منسوخ 23:04
نقص‌های شناسایی و احراز هویت 33:53
نقص‌های یکپارچگی نرم‌افزار و داده 17:33
نقص‌های ثبت وقایع و نظارت امنیتی 22:54
جعل درخواست سمت سرور (SSRF) 24:32

فصل 3: OWASP API Security Top 10 2023

API1:2023 مجوزدهی سطح آبجکت شکسته - بخش 1 15:47
API1:2023 مجوزدهی سطح آبجکت شکسته - بخش 2 (تمرین) 11:35
API1:2023 مجوزدهی سطح آبجکت شکسته - بخش 3 (Zero-Trust ،UUIDs) 21:32
API2:2023 احراز هویت شکسته - بخش 1 (مبانی، تأثیر، انواع حملات) 17:58
API2:2023 احراز هویت شکسته - بخش 2 (مطالعات موردی، OAuth ،OpenID) 20:17
API2:2023 احراز هویت شکسته - بخش 3 - (تمرین، توکن‌های JWT، حملات زمانی) 27:49
API3:2023 مجوزدهی سطح ویژگی آبجکت شکسته - بخش 1 20:50
API3:2023 مجوزدهی سطح ویژگی آبجکت شکسته - بخش 2 (تمرین) 16:24
API4:2023 مصرف نامحدود منابع - بخش 1 27:09
API4:2023 مصرف نامحدود منابع - بخش 2 (تمرین) 09:55
API5:2023 مجوزدهی سطح عملکرد شکسته - بخش 1 19:18
API5:2023 مجوزدهی سطح عملکرد شکسته - بخش 2 (تمرین) 08:32
API6:2023 دسترسی نامحدود به جریان‌های حساس کسب و کار - بخش 1 20:03
API6:2023 دسترسی نامحدود به جریان‌های حساس کسب و کار - بخش 2 25:11
API6:2023 دسترسی نامحدود به جریان‌های حساس کسب و کار - بخش 3 (تمرین) 09:55
API9:2023 مدیریت نامناسب موجودی - بخش 1 27:02
API9:2023 مدیریت نامناسب موجودی - بخش 2 (تمرین) 11:28
API10:2023 مصرف ناامن APIها - بخش 1 30:30
API10:2023 مصرف ناامن APIها - بخش 2 (تمرین) 09:28

فصل 4: Spring Security

مقدمه‌ای بر Spring Security 16:30
اولین فرم ورود و اولین پیکربندی فیلتر امنیتی 34:12
ورود با کاربران پایگاه داده، نقش‌ها و امتیازات 25:41
قابلیت مرا به خاطر بسپار و امنیت متدها 15:58
معماری Spring Security و Authentication Provider 18:08
آزمون: Spring Security - فروشگاه آنلاین 25:30

فصل 5: Spring Boot

Spring Boot: مقدمه 22:42
اولین پروژه Spring Boot 18:31
استارترهای Spring Boot 33:56
پیکربندی‌های Spring Boot و Application Properties 29:41
Spring Boot Actuator - ابزارهای نظارت 26:32

فصل 6: سیستم‌های تاب‌آور و امن با Spring Boot

OAuth، OAuth 2.0، JWT و OpenID Connect، ارائه‌دهنده هویت 17:40
تمرین: Auth0 - پیکربندی ارائه‌دهنده هویت 27:38
پیکربندی OAuth و Open ID Connect در Spring Boot - بخش 1 17:11
پیکربندی OAuth و Open ID Connect در Spring Boot - بخش 2 15:13
تست امنیت: تست اندپوینت‌های Spring Boot - بخش 1 16:31
تست امنیت: تست اندپوینت‌های Spring Boot - بخش 2 23:52
محافظت از APIها با محدودیت نرخ 16:21
راهنمای عملی محدودیت نرخ: Bucket4j 17:10
ساخت سرویس‌های تاب‌آور با Resilience4j در Spring Boot. الگوی Circuit Breaker 13:25
الگوی Circuit Breaker - تمرین 18:41
ترکیب Spring Boot + Resilience4j: الگوی Retry 28:54
ترکیب Spring Boot + Resilience4j: الگوی Time Limiter 20:23
ترکیب Spring Boot + Resilience4j: الگوی Rate Limiter 19:23
ترکیب Spring Boot + Resilience4j: الگوی Bulkhead 32:28
الگوهای میکروسرویس در عمل: بررسی API Gateway 15:55
Spring Cloud Gateway: تمرین 17:46
لود بالانسینگ: مفاهیم، استراتژی‌ها و موارد استفاده 23:55
پیاده‌سازی لود بالانسینگ با Spring Cloud LoadBalancer 24:13

فصل 7: امنیت سایبری: شیوه‌های امنیتی جامع برای توسعه‌دهندگان

مقدمه‌ای بر امنیت سایبری بخش 1 - بررسی از چشم‌انداز تهدیدات سایبری فعلی 07:58
مقدمه‌ای بر امنیت سایبری بخش 2 - مطالعات موردی، مدل‌های تحلیل تهدید و موارد دیگر 19:02
مقدمه‌ای بر امنیت سایبری بخش 3 - کنترل‌های امنیتی، SDD ،SOC 22:38
نکات عمومی امنیت: نوشتن کد با در نظر گرفتن ایمنی 17:25
ایمن‌سازی ورودی‌ها: چگونگی اعتبارسنجی و پاک‌سازی داده‌های ورودی 21:37
محافظت از خروجی‌ها: کدگذاری موثر برای سیستم‌های امن 13:12
تسلط به احراز هویت: بهترین روش‌ها برای مدیریت اعتبارنامه‌های کاربر 26:11
ایمن‌سازی نشست‌ها: جلوگیری از سرقت نشست و بهبود پایداری 23:28
قفل کردن دسترسی: پیاده‌سازی مکانیزم‌های مجوزدهی قوی 25:52
معماری Zero Trust و احراز هویت مدرن 25:21
ضروریات رمزنگاری: محافظت از داده‌ها با رمزنگاری - بخش 1 18:34
ضروریات رمزنگاری: محافظت از داده‌ها با رمزنگاری - بخش 2 19:12
دفاع از داده‌ها: استراتژی‌هایی برای محافظت از اطلاعات حساس 21:53
ایمن‌سازی پایگاه‌های داده: بهترین روش‌ها برای جلوگیری از SQL Injection 22:04
مدیریت امن فایل: جلوگیری از آسیب‌پذیری‌های مبتنی بر فایل 24:35
محافظت از کانال‌های ارتباطی: تضمین انتقال امن داده‌ها 20:01
مقاوم‌سازی پیکربندی‌های سیستم: کاهش سطح حمله 22:45
بهترین شیوه های امنیت ابری 22:37
امنیت اپلیکیشن‌های موبایل 24:42