出版计算机与互联网OAuth 2实战
OAuth 2实战

OAuth 2实战

作者[美] 贾斯廷·里彻[瑞士] 安东尼奥·桑索

译者杨鹏

类别 出版 / 非虚构

出版社人民邮电出版社 / 2019-04

提供方人民邮电出版社

字数约 174,000 字

ISBN9787115509376

暂无评价综合评分的显示会考虑用户真实性等多项因素,每部作品出现综合评分的时间不定。
8.037 评价豆瓣读书
开通会员,可免费在线阅读本书 ,首月特惠
分享到豆瓣分享到微信分享到微博分享到QQ好友分享到QQ空间
¥44.99

作品简介

本书深入探讨OAuth的运行机制,详细介绍如何在不安全的网络环境下正确使用、部署OAuth,确保安全认证,是目前关于OAuth最全面深入的参考资料。书中内容分为四大部分,分别概述OAuth2.0协议,如何构建一个完整的OAuth2.0生态系统,OAuth2.0生态系统中各个部分可能出现的漏洞及其如何规避,以及更外围生态系统中的标准和规范。

贾斯廷·里彻(Justin Richer),系统架构师、软件工程师,OAuth工作组重要成员,深度参与了OAuth2核心规范的制定,任多个扩展规范的技术编辑,并领导开发了基于OAuth的服务端与客户端套件MITREid Connect。

安东尼奥·桑索(Antonio Sanso),就职于Adobe公司,长期从事安全研究工作。应用密码学博士,持有多项Web技术专利。

作品目录

  1. 版权声明
  3. 前言
  4. 致谢
  5. Justin Richer
  6. Antonio Sanso
  7. 关于本书
  8. 路线图
  9. 代码
  10. 代码约定
  11. 作者在线
  12. 关于封面图片
  13. 第一部分 起步
  14. 第 1 章 OAuth 2.0是什么,为什么要关心它
  15. 1.1 OAuth 2.0是什么
  16. 1.2 黑暗的旧时代:凭据共享与凭据盗用
  17. 1.3 授权访问
  18. 1.4 OAuth 2.0:优点、缺点和丑陋的方面
  19. 1.5 OAuth 2.0不能做什么
  20. 1.6 小结
  21. 第 2 章 OAuth之舞
  22. 2.1 OAuth 2.0协议概览:获取和使用令牌
  23. 2.2 OAuth 2.0授权许可的完整过程
  24. 2.3 OAuth中的角色:客户端、授权服务器、资源拥有者、受保护资源
  25. 2.4 OAuth的组件:令牌、权限范围和授权许可
  26. 2.5 OAuth的角色与组件间的交互:后端信道、前端信道和端点
  27. 2.6 小结
  28. 第二部分 构建OAuth环境
  29. 第 3 章 构建简单的OAuth客户端
  30. 3.1 向授权服务器注册OAuth客户端
  31. 3.2 使用授权码许可类型获取令牌
  32. 3.3 使用令牌访问受保护资源
  33. 3.4 刷新访问令牌
  34. 3.5 小结
  35. 第 4 章 构建简单的OAuth受保护资源
  36. 4.1 解析HTTP请求中的OAuth令牌
  37. 4.2 根据数据存储验证令牌
  38. 4.3 根据令牌提供内容
  39. 4.4 小结
  40. 第 5 章 构建简单的OAuth授权服务器
  41. 5.1 管理OAuth客户端注册
  42. 5.2 对客户端授权
  43. 5.3 令牌颁发
  44. 5.4 支持刷新令牌
  45. 5.5 增加授权范围的支持
  46. 5.6 小结
  47. 第 6 章 现实世界中的OAuth 2.0
  48. 6.1 授权许可类型
  49. 6.2 客户端部署
  50. 6.3 小结
  51. 第三部分 OAuth 2.0的实现与漏洞
  52. 第 7 章 常见的客户端漏洞
  53. 7.1 常规客户端安全
  54. 7.2 针对客户端的CSRF攻击
  55. 7.3 客户端凭据失窃
  56. 7.4 客户端重定向URI注册
  57. 7.5 授权码失窃
  58. 7.6 令牌失窃
  59. 7.7 原生应用最佳实践
  60. 7.8 小结
  61. 第 8 章 常见的受保护资源漏洞
  62. 8.1 受保护资源会受到什么攻击
  63. 8.2 受保护资源端点设计
  64. 8.3 令牌重放
  65. 8.4 小结
  66. 第 9 章 常见的授权服务器漏洞
  67. 9.1 常规安全
  68. 9.2 会话劫持
  69. 9.3 重定向URI篡改
  70. 9.4 客户端假冒
  71. 9.5 开放重定向器
  72. 9.6 小结
  73. 第 10 章 常见的OAuth令牌漏洞
  74. 10.1 什么是bearer令牌
  75. 10.2 使用bearer令牌的风险及注意事项
  76. 10.3 如何保护bearer令牌
  77. 10.4 授权码
  78. 10.5 小结
  79. 第四部分 更进一步
  80. 第 11 章 OAuth令牌
  81. 11.1 OAuth令牌是什么
  82. 11.2 结构化令牌:JWT
  83. 11.3 令牌的加密保护:JOSE
  84. 11.4 在线获取令牌信息:令牌内省
  85. 11.5 支持令牌撤回的令牌生命周期管理
  86. 11.6 OAuth令牌的生命周期
  87. 11.7 小结
  88. 第 12 章 动态客户端注册
  89. 12.1 服务器如何识别客户端
  90. 12.2 运行时的客户端注册
  91. 12.3 客户端元数据
  92. 12.4 管理动态注册的客户端
  93. 12.5 小结
  94. 第 13 章 将OAuth 2.0用于用户身份认证
  95. 13.1 为什么OAuth 2.0不是身份认证协议
  96. 13.2 OAuth到身份认证协议的映射
  97. 13.3 OAuth 2.0是如何使用身份认证的
  98. 13.4 使用OAuth 2.0进行身份认证的常见陷阱
  99. 13.5 OpenID Connect:一个基于OAuth 2.0的认证和身份标准
  100. 13.6 构建一个简单的OpenID Connect系统
  101. 13.7 小结
  102. 第 14 章 使用OAuth 2.0的协议和配置规范
  103. 14.1 UMA
  104. 14.2 HEART
  105. 14.3 iGov
  106. 14.4 小结
  107. 第 15 章 bearer令牌以外的选择
  108. 15.1 为什么不能满足于bearer令牌
  109. 15.2 PoP令牌
  110. 15.3 PoP令牌实现
  111. 15.4 TLS令牌绑定
  112. 15.5 小结
  113. 第 16 章 归纳总结
  114. 16.1 正确的工具
  115. 16.2 做出关键决策
  116. 16.3 更大范围的生态系统
  117. 16.4 社区
  118. 16.5 未来
  119. 16.6 小结
  120. 附录 A 代码框架介绍
  121. 附录 B 补充代码清单
  122. 看完了
载入中