OAuth是互联网公司广泛使用的授权协议,守护着全球不计其数的Web API。看似无所不能的它,却因为高度的灵活性而很难驾驭。本书从实战角度出发,带你领略OAuth生态系统的秀美风光,并学会自己构建安全的客户端、受保护资源和授权服务器,透彻理解OAuth 2的实现和部署流程,不仅知其然,还知其所以然。 本书重讲解以下内容: OAuth 2的设计理念和重要性;
售 价:¥
纸质售价:¥59.70购买纸书
6.2
温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印
为你推荐
版权声明
前言
致谢
关于本书
关于封面图片
第一部分 起步
第 1 章 OAuth 2.0是什么,为什么要关心它
1.1 OAuth 2.0是什么
1.2 黑暗的旧时代:凭据共享与凭据盗用
1.3 授权访问
1.4 OAuth 2.0:优点、缺点和丑陋的方面
1.5 OAuth 2.0不能做什么
1.6 小结
第 2 章 OAuth之舞
2.1 OAuth 2.0协议概览:获取和使用令牌
2.2 OAuth 2.0授权许可的完整过程
2.3 OAuth中的角色:客户端、授权服务器、资源拥有者、受保护资源
2.4 OAuth的组件:令牌、权限范围和授权许可
2.5 OAuth的角色与组件间的交互:后端信道、前端信道和端点
2.6 小结
第二部分 构建OAuth环境
第 3 章 构建简单的OAuth客户端
3.1 向授权服务器注册OAuth客户端
3.2 使用授权码许可类型获取令牌
3.3 使用令牌访问受保护资源
3.4 刷新访问令牌
3.5 小结
第 4 章 构建简单的OAuth受保护资源
4.1 解析HTTP请求中的OAuth令牌
4.2 根据数据存储验证令牌
4.3 根据令牌提供内容
4.4 小结
第 5 章 构建简单的OAuth授权服务器
5.1 管理OAuth客户端注册
5.2 对客户端授权
5.3 令牌颁发
5.4 支持刷新令牌
5.5 增加授权范围的支持
5.6 小结
第 6 章 现实世界中的OAuth 2.0
6.1 授权许可类型
6.2 客户端部署
6.3 小结
第三部分Part 3 OAuth 2.0的实现与漏洞
第 7 章 常见的客户端漏洞
7.1 常规客户端安全
7.2 针对客户端的CSRF攻击
7.3 客户端凭据失窃
7.4 客户端重定向URI注册
7.5 授权码失窃
7.6 令牌失窃
7.7 原生应用最佳实践
7.8 小结
第 8 章 常见的受保护资源漏洞
8.1 受保护资源会受到什么攻击
8.2 受保护资源端点设计
8.3 令牌重放
8.4 小结
第 9 章 常见的授权服务器漏洞
9.1 常规安全
9.2 会话劫持
9.3 重定向URI篡改
9.4 客户端假冒
9.5 开放重定向器
9.6 小结
第 10 章 常见的OAuth令牌漏洞
10.1 什么是bearer令牌
10.2 使用bearer令牌的风险及注意事项
10.3 如何保护bearer令牌
10.4 授权码
10.5 小结
第四部分Part 4 更进一步
第 11 章 OAuth令牌
11.1 OAuth令牌是什么
11.2 结构化令牌:JWT
11.3 令牌的加密保护:JOSE
11.4 在线获取令牌信息:令牌内省
11.5 支持令牌撤回的令牌生命周期管理
11.6 OAuth令牌的生命周期
11.7 小结
第 12 章 动态客户端注册
12.1 服务器如何识别客户端
12.2 运行时的客户端注册
12.3 客户端元数据
12.4 管理动态注册的客户端
12.5 小结
第 13 章 将OAuth 2.0用于用户身份认证
13.1 为什么OAuth 2.0不是身份认证协议
13.2 OAuth到身份认证协议的映射
13.3 OAuth 2.0是如何使用身份认证的
13.4 使用OAuth 2.0进行身份认证的常见陷阱
13.5 OpenID Connect:一个基于OAuth 2.0的认证和身份标准
13.6 构建一个简单的OpenID Connect系统
13.7 小结
第 14 章 使用OAuth 2.0的协议和配置规范
14.1 UMA
14.2 HEART
14.3 iGov
14.4 小结
第 15 章 bearer令牌以外的选择
15.1 为什么不能满足于bearer令牌
15.2 PoP令牌
15.3 PoP令牌实现
15.4 TLS令牌绑定
15.5 小结
第 16 章 归纳总结
16.1 正确的工具
16.2 做出关键决策
16.3 更大范围的生态系统
16.4 社区
16.5 未来
16.6 小结
附录 A 代码框架介绍
附录 B 补充代码清单
看完了
买过这本书的人还买过
读了这本书的人还在读
同类图书排行榜
购物车
个人中心
