![OAuth 2实战](https://pic.arkread.com/cover/ebook/f/331554877.1653693413.jpg!cover_default.jpg)
¥44.99
作品简介
本书深入探讨OAuth的运行机制,详细介绍如何在不安全的网络环境下正确使用、部署OAuth,确保安全认证,是目前关于OAuth最全面深入的参考资料。书中内容分为四大部分,分别概述OAuth2.0协议,如何构建一个完整的OAuth2.0生态系统,OAuth2.0生态系统中各个部分可能出现的漏洞及其如何规避,以及更外围生态系统中的标准和规范。
贾斯廷·里彻(Justin Richer),系统架构师、软件工程师,OAuth工作组重要成员,深度参与了OAuth2核心规范的制定,任多个扩展规范的技术编辑,并领导开发了基于OAuth的服务端与客户端套件MITREid Connect。
安东尼奥·桑索(Antonio Sanso),就职于Adobe公司,长期从事安全研究工作。应用密码学博士,持有多项Web技术专利。
作品目录
版权声明
序
前言
致谢
Justin Richer
Antonio Sanso
关于本书
路线图
代码
代码约定
作者在线
关于封面图片
第一部分 起步
第 1 章 OAuth 2.0是什么,为什么要关心它
1.1 OAuth 2.0是什么
1.2 黑暗的旧时代:凭据共享与凭据盗用
1.3 授权访问
1.4 OAuth 2.0:优点、缺点和丑陋的方面
1.5 OAuth 2.0不能做什么
1.6 小结
第 2 章 OAuth之舞
2.1 OAuth 2.0协议概览:获取和使用令牌
2.2 OAuth 2.0授权许可的完整过程
2.3 OAuth中的角色:客户端、授权服务器、资源拥有者、受保护资源
2.4 OAuth的组件:令牌、权限范围和授权许可
2.5 OAuth的角色与组件间的交互:后端信道、前端信道和端点
2.6 小结
第二部分 构建OAuth环境
第 3 章 构建简单的OAuth客户端
3.1 向授权服务器注册OAuth客户端
3.2 使用授权码许可类型获取令牌
3.3 使用令牌访问受保护资源
3.4 刷新访问令牌
3.5 小结
第 4 章 构建简单的OAuth受保护资源
4.1 解析HTTP请求中的OAuth令牌
4.2 根据数据存储验证令牌
4.3 根据令牌提供内容
4.4 小结
第 5 章 构建简单的OAuth授权服务器
5.1 管理OAuth客户端注册
5.2 对客户端授权
5.3 令牌颁发
5.4 支持刷新令牌
5.5 增加授权范围的支持
5.6 小结
第 6 章 现实世界中的OAuth 2.0
6.1 授权许可类型
6.2 客户端部署
6.3 小结
第三部分 OAuth 2.0的实现与漏洞
第 7 章 常见的客户端漏洞
7.1 常规客户端安全
7.2 针对客户端的CSRF攻击
7.3 客户端凭据失窃
7.4 客户端重定向URI注册
7.5 授权码失窃
7.6 令牌失窃
7.7 原生应用最佳实践
7.8 小结
第 8 章 常见的受保护资源漏洞
8.1 受保护资源会受到什么攻击
8.2 受保护资源端点设计
8.3 令牌重放
8.4 小结
第 9 章 常见的授权服务器漏洞
9.1 常规安全
9.2 会话劫持
9.3 重定向URI篡改
9.4 客户端假冒
9.5 开放重定向器
9.6 小结
第 10 章 常见的OAuth令牌漏洞
10.1 什么是bearer令牌
10.2 使用bearer令牌的风险及注意事项
10.3 如何保护bearer令牌
10.4 授权码
10.5 小结
第四部分 更进一步
第 11 章 OAuth令牌
11.1 OAuth令牌是什么
11.2 结构化令牌:JWT
11.3 令牌的加密保护:JOSE
11.4 在线获取令牌信息:令牌内省
11.5 支持令牌撤回的令牌生命周期管理
11.6 OAuth令牌的生命周期
11.7 小结
第 12 章 动态客户端注册
12.1 服务器如何识别客户端
12.2 运行时的客户端注册
12.3 客户端元数据
12.4 管理动态注册的客户端
12.5 小结
第 13 章 将OAuth 2.0用于用户身份认证
13.1 为什么OAuth 2.0不是身份认证协议
13.2 OAuth到身份认证协议的映射
13.3 OAuth 2.0是如何使用身份认证的
13.4 使用OAuth 2.0进行身份认证的常见陷阱
13.5 OpenID Connect:一个基于OAuth 2.0的认证和身份标准
13.6 构建一个简单的OpenID Connect系统
13.7 小结
第 14 章 使用OAuth 2.0的协议和配置规范
14.1 UMA
14.2 HEART
14.3 iGov
14.4 小结
第 15 章 bearer令牌以外的选择
15.1 为什么不能满足于bearer令牌
15.2 PoP令牌
15.3 PoP令牌实现
15.4 TLS令牌绑定
15.5 小结
第 16 章 归纳总结
16.1 正确的工具
16.2 做出关键决策
16.3 更大范围的生态系统
16.4 社区
16.5 未来
16.6 小结
附录 A 代码框架介绍
附录 B 补充代码清单
看完了
载入中