万本电子书0元读

万本电子书0元读

顶部广告

OAuth 2实战电子书

OAuth是互联网公司广泛使用的授权协议,守护着全球不计其数的Web API。看似无所不能的它,却因为高度的灵活性而很难驾驭。本书从实战角度出发,带你领略OAuth生态系统的秀美风光,并学会自己构建安全的客户端、受保护资源和授权服务器,透彻理解OAuth 2的实现和部署流程,不仅知其然,还知其所以然。  本书重讲解以下内容:   OAuth 2的设计理念和重要性; 

售       价:¥

纸质售价:¥66.20购买纸书

324人正在读 | 3人评论 6.2

作       者:(美) 贾斯廷·里彻(Justin Richer),(瑞士) 安东尼奥·桑索(Antonio Sanso)

出  版  社:人民邮电出版社有限公司

出版时间:2019-04-01

字       数:28.6万

所属分类: 科技 > 计算机/网络 > 程序设计

温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(3条)
  • 读书简介
  • 目录
  • 累计评论(3条)
本书深探讨OAuth的运行机制,详细介绍如何在不安全的网络环境下正确使用、部署OAuth,确保安全认证,是目前关于OAuth全面深的参考资料。书中内容分为四大部分,分别概述OAuth 2.0协议,如何构建一个完整的OAuth 2.0生态系统,OAuth 2.0生态系统中各个部分可能出现的漏洞及其如何规避,以及更外围生态系统中的标准和规范。<br/>【推荐语】<br/>OAuth是互联网公司广泛使用的授权协议,守护着全球不计其数的Web API。看似无所不能的它,却因为高度的灵活性而很难驾驭。本书从实战角度出发,带你领略OAuth生态系统的秀美风光,并学会自己构建安全的客户端、受保护资源和授权服务器,透彻理解OAuth 2的实现和部署流程,不仅知其然,还知其所以然。  本书重讲解以下内容:   OAuth 2的设计理念和重要性;   构建OAuth 2生态系统;   OAuth 2生态系统的常见漏洞;   针对OAuth令牌和授权码的常见攻;   动态客户端注册。  “非常实用,告诉我们什么该做,什么不该做。”——Ian Glazer,Salesforce公司身份管理高级总监  “这本书的深度和广度令人折服,推荐所有Web发人员都看看。”——Thomas O'Rourke,软件工程师  “内容简洁、结构清晰,让我对OAuth有了透彻了解。”——Roy Folkker,亚马逊读者 <br/>【作者】<br/>【作者介绍】  贾斯廷·里彻(Justin Richer),系统架构师、软件工程师,OAuth工作组重要成员,深度参与了OAuth 2核心规范的制定,任多个扩展规范的技术编辑,并领导发了基于OAuth的服务端与客户端套件MITREid Connect。  安东尼奥·桑索(Antonio Sanso),就职于Adobe公司,长期从事安全研究工作。应用密码学博士,持有多项Web技术专利。  【译者介绍】  杨鹏,毕业于四川大学电子信息学院信息安全研究所,目前从事Web前端发,同时广泛涉猎各技术领域。 <br/>
目录展开

版权声明

前言

致谢

关于本书

关于封面图片

第一部分 起步

第 1 章 OAuth 2.0是什么,为什么要关心它

1.1 OAuth 2.0是什么

1.2 黑暗的旧时代:凭据共享与凭据盗用

1.3 授权访问

1.4 OAuth 2.0:优点、缺点和丑陋的方面

1.5 OAuth 2.0不能做什么

1.6 小结

第 2 章 OAuth之舞

2.1 OAuth 2.0协议概览:获取和使用令牌

2.2 OAuth 2.0授权许可的完整过程

2.3 OAuth中的角色:客户端、授权服务器、资源拥有者、受保护资源

2.4 OAuth的组件:令牌、权限范围和授权许可

2.5 OAuth的角色与组件间的交互:后端信道、前端信道和端点

2.6 小结

第二部分 构建OAuth环境

第 3 章 构建简单的OAuth客户端

3.1 向授权服务器注册OAuth客户端

3.2 使用授权码许可类型获取令牌

3.3 使用令牌访问受保护资源

3.4 刷新访问令牌

3.5 小结

第 4 章 构建简单的OAuth受保护资源

4.1 解析HTTP请求中的OAuth令牌

4.2 根据数据存储验证令牌

4.3 根据令牌提供内容

4.4 小结

第 5 章 构建简单的OAuth授权服务器

5.1 管理OAuth客户端注册

5.2 对客户端授权

5.3 令牌颁发

5.4 支持刷新令牌

5.5 增加授权范围的支持

5.6 小结

第 6 章 现实世界中的OAuth 2.0

6.1 授权许可类型

6.2 客户端部署

6.3 小结

第三部分Part 3 OAuth 2.0的实现与漏洞

第 7 章 常见的客户端漏洞

7.1 常规客户端安全

7.2 针对客户端的CSRF攻击

7.3 客户端凭据失窃

7.4 客户端重定向URI注册

7.5 授权码失窃

7.6 令牌失窃

7.7 原生应用最佳实践

7.8 小结

第 8 章 常见的受保护资源漏洞

8.1 受保护资源会受到什么攻击

8.2 受保护资源端点设计

8.3 令牌重放

8.4 小结

第 9 章 常见的授权服务器漏洞

9.1 常规安全

9.2 会话劫持

9.3 重定向URI篡改

9.4 客户端假冒

9.5 开放重定向器

9.6 小结

第 10 章 常见的OAuth令牌漏洞

10.1 什么是bearer令牌

10.2 使用bearer令牌的风险及注意事项

10.3 如何保护bearer令牌

10.4 授权码

10.5 小结

第四部分Part 4 更进一步

第 11 章 OAuth令牌

11.1 OAuth令牌是什么

11.2 结构化令牌:JWT

11.3 令牌的加密保护:JOSE

11.4 在线获取令牌信息:令牌内省

11.5 支持令牌撤回的令牌生命周期管理

11.6 OAuth令牌的生命周期

11.7 小结

第 12 章 动态客户端注册

12.1 服务器如何识别客户端

12.2 运行时的客户端注册

12.3 客户端元数据

12.4 管理动态注册的客户端

12.5 小结

第 13 章 将OAuth 2.0用于用户身份认证

13.1 为什么OAuth 2.0不是身份认证协议

13.2 OAuth到身份认证协议的映射

13.3 OAuth 2.0是如何使用身份认证的

13.4 使用OAuth 2.0进行身份认证的常见陷阱

13.5 OpenID Connect:一个基于OAuth 2.0的认证和身份标准

13.6 构建一个简单的OpenID Connect系统

13.7 小结

第 14 章 使用OAuth 2.0的协议和配置规范

14.1 UMA

14.2 HEART

14.3 iGov

14.4 小结

第 15 章 bearer令牌以外的选择

15.1 为什么不能满足于bearer令牌

15.2 PoP令牌

15.3 PoP令牌实现

15.4 TLS令牌绑定

15.5 小结

第 16 章 归纳总结

16.1 正确的工具

16.2 做出关键决策

16.3 更大范围的生态系统

16.4 社区

16.5 未来

16.6 小结

附录 A 代码框架介绍

附录 B 补充代码清单

看完了

累计评论(3条) 3个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部