OAuth 2 實戰 (OAuth 2 in Action)
[美] 賈斯廷·里徹(Justin Richer),[瑞士] 安東尼奧·桑索(Antonio Sanso)
- 出版商: 人民郵電
- 出版日期: 2019-04-01
- 售價: $534
- 貴賓價: 9.5 折 $507
- 語言: 簡體中文
- 頁數: 279
- ISBN: 7115509379
- ISBN-13: 9787115509376
-
相關分類:
Web API
- 此書翻譯自: OAuth 2 in Action (Paperback)
立即出貨 (庫存 < 3)
買這商品的人也買了...
-
$265Web API 的設計與開發 (Web API : the Good Parts) -
單元測試的藝術, 2/e (The Art of Unit Testing: with examples in C#, 2/e)$650$429 -
為你自己學 Git$500$425 -
$352碼農翻身 -
Firebase 開發實務$450$356 -
$505精通 CSS 高級 Web 標準解決方案, 3/e -
$454C# 神經網絡編程 -
ASP.NET Core 與 RESTful API 開發實戰$474$450 -
404 Girls Not Found 馬克杯(新款改版)$320$320 -
The Pragmatic Programmer 20週年紀念版 (The Pragmatic Programmer, 20th Anniversary Edition)$680$537 -
$403Go語言機器學習實戰 -
Essential C# 7.0 -- C# 必備指南 (中文版) (Essential C# 7.0, 6/e)$990$842 -
高品質軟體文件|持續分享技術與知識 (Living Documentation: Continuous Knowledge Sharing by Design)$680$476 -
ASP.NET Core 3.x MVC 跨平台範例實戰演練$800$632 -
Kent Beck 的測試驅動開發:案例導向的逐步解決之道 (Test-Driven Development: By Example)(TDD)$560$437 -
API 安全技術與實戰$594$564 -
$454前端 Serverless:面向全棧的無服務器架構實戰 -
iOS 15 程式設計實戰 -- Storyboard 與 SwiftUI 快速上手的開發技巧 200+$540$427 -
$551FFmpeg 音視頻開發基礎與實戰 -
$509設計模式之美 -
一本讀懂 Web3.0:啟動未來科技世界的關鍵技術區塊鏈、NFT、元宇宙和 DAO$600$468 -
無瑕的程式碼 敏捷篇:還原敏捷真實的面貌 (Clean Agile : Back to Basics)$560$437 -
OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全$600$510 -
機器學習模擬應用|將合成資料運用於AI (Practical Simulations for Machine Learning)$680$537 -
無痛上手量化合約程式交易:Python × Pandas × TA-Lib從零打造專屬量化合約機器人$660$462
相關主題
商品描述
本書深入探討OAuth的運行機制,詳細介紹如何在不安全的網絡環境下正確使用、部署OAuth,確保安全認證,是目前關於OAuth全面深入的參考資料。書中內容分為四大部分,分別概述OAuth 2.0協議,如何構建一個完整的OAuth 2.0生態系統,OAuth 2.0生態系統中各個部分可能出現的漏洞及其如何規避,以及更外圍生態系統中的標準和規範。
作者簡介
安東尼奧·桑索(Antonio Sanso),就職於Adobe公司,長期從事安全研究工作。應用密碼學博士,持有多項Web技術專利。
目錄大綱
第一部分 起步
第1章 OAuth 2.0是什麽,為什麽要關心它
1.1 OAuth 2.0是什麽
1.2 黑暗的舊時代:憑據共享與憑據盜用
1.3 授權訪問
1.3.1 超越HTTP 基本認證協議和密碼共享反模式
1.3.2 授權委托:重要性及應用
1.3.3 用戶主導的安全與用戶的選擇
1.4 OAuth 2.0:優點、缺點和醜陋的方面
1.5 OAuth 2.0不能做什麽
1.6 小結
第2章 OAuth之舞
2.1 OAuth 2.0協議概覽:獲取和使用令牌
2.2 OAuth 2.0授權許可的完整過程
2.3 OAuth中的角色:客戶端、授權服務器、資源擁有者、受保護資源
2.4 OAuth的組件:令牌、權限範圍和授權許可
2.4.1 訪問令牌
2.4.2 權限範圍
2.4.3 刷新令牌
2.4.4 授權許可
2.5 OAuth的角色與組件間的交互:後端通道、前端通道和端點
2.5.1 後端通道通信
2.5.2 前端通道通信
2.6 小結
第二部分 構建OAuth環境
第3章 構建簡單的OAuth客戶端
3.1 向授權服務器註冊OAuth客戶端
3.2 使用授權碼許可類型獲取令牌
3.2.1 發送授權請求
3.2.2 處理授權響應
3.2.3 使用state參數添加跨站保護
3.3 使用令牌訪問受保護資源
3.4 刷新訪問令牌
3.5 小結
第4章 構建簡單的OAuth受保護資源
4.1 解析HTTP請求中的OAuth令牌
4.2 根據數據存儲驗證令牌
4.3 根據令牌提供內容
4.3.1 不同的權限範圍對應不同的操作
4.3.2 不同的權限範圍對應不同的數據結果
4.3.3 不同的用戶對應不同的數據結果
4.3.4 額外的訪問控制
4.4 小結
第5章 構建簡單的OAuth授權服務器
5.1 管理OAuth客戶端註冊
5.2 對客戶端授權
5.2.1 授權端點
5.2.2 客戶端授權
5.3 令牌頒發
5.3.1 對客戶端進行身份認證
5.3.2 處理授權許可請求
5.4 支持刷新令牌
5.5 增加授權範圍的支持
5.6 小結
第6章 現實世界中的OAuth 2.0
6.1 授權許可類型
6.1.1 隱式許可類型
6.1.2 客戶端憑據許可類型
6.1.3 資源擁有者憑據許可類型
6.1.4 斷言許可類型
6.1.5 選擇合適的許可類型
6.2 客戶端部署
6.2.1 Web應用
6.2.2 瀏覽器應用
6.2.3 原生應用
6.2.4 處理密鑰
6.3 小結
第三部分 OAuth 2.0的實現與漏洞
第7章 常見的客戶端漏洞
7.1 常規客戶端安全
7.2 針對客戶端的CSRF攻擊
7.3 客戶端憑據失竊
7.4 客戶端重定向URI註冊
7.4.1 通過Referrer盜取授權碼
7.4.2 通過開放重定向器盜取令牌
7.5 授權碼失竊
7.6 令牌失竊
7.7 原生應用最佳實踐
7.8 小結
第8章 常見的受保護資源漏洞
8.1 受保護資源會受到什麽攻擊
8.2 受保護資源端點設計
8.2.1 如何保護資源端點
8.2.2 支持隱式許可
8.3 令牌重放
8.4 小結
第9章 常見的授權服務器漏洞
9.1 常規安全
9.2 會話劫持
9.3 重定向URI篡改
9.4 客戶端假冒
9.5 開放重定向器
9.6 小結
第10章 常見的OAuth令牌漏洞
10.1 什麽是bearer令牌
10.2 使用bearer令牌的風險及註意事項
10.3 如何保護bearer令牌
10.3.1 在客戶端上
10.3.2 在授權服務器上
10.3.3 在受保護資源上
10.4 授權碼
10.5 小結
第四部分 更進一步
第11章 OAuth令牌
11.1 OAuth令牌是什麽
11.2 結構化令牌:JWT
11.2.1 JWT的結構
11.2.2 JWT聲明
11.2.3 在服務器上實現JWT
11.3 令牌的加密保護:JOSE
11.3.1 使用HS256的對稱簽名
11.3.2 使用RS256 的非對稱簽名
11.3.3 其他令牌保護方法
11.4 在線獲取令牌信息:令牌內省
11.4.1 內省協議
11.4.2 構建內省端點
11.4.3 發起令牌內省請求
11.4.4 將內省與JWT結合
11.5 支持令牌撤回的令牌生命周期管理
11.5.1 令牌撤回協議
11.5.2 實現令牌撤回端點
11.5.3 發起令牌撤回請求
11.6 OAuth 令牌的生命周期
11.7 小結
第12章 動態客戶端註冊
12.1 服務器如何識別客戶端
12.2 運行時的客戶端註冊
12.2.1 協議的工作原理
12.2.2 為什麽要使用動態註冊
12.2.3 實現註冊端點
12.2.4 實現客戶端自行註冊
12.3 客戶端元數據
12.3.1 核心客戶端元數據字段名錶
12.3.2 可讀的客戶端元數據國際化
12.3.3 軟件聲明
12.4 管理動態註冊的客戶端
12.4.1 管
