传说是天帝藏书的地方
OAuth 2实战
  • 书名

    OAuth 2实战

  • 作者[美] 贾斯廷·里彻[瑞士] 安东尼奥·桑索
  • 出版社人民邮电出版社 / 2019-04
  • ISBN书号9787115509376
  • 字数约 174,000 字
  • 全本定价¥44.99
免费试读

作品简介

本书深入探讨OAuth的运行机制,详细介绍如何在不安全的网络环境下正确使用、部署OAuth,确保安全认证,是目前关于OAuth最全面深入的参考资料。书中内容分为四大部分,分别概述OAuth2.0协议,如何构建一个完整的OAuth2.0生态系统,OAuth2.0生态系统中各个部分可能出现的漏洞及其如何规避,以及更外围生态系统中的标准和规范。

贾斯廷·里彻(Justin Richer),系统架构师、软件工程师,OAuth工作组重要成员,深度参与了OAuth2核心规范的制定,任多个扩展规范的技术编辑,并领导开发了基于OAuth的服务端与客户端套件MITREid Connect。

安东尼奥·桑索(Antonio Sanso),就职于Adobe公司,长期从事安全研究工作。应用密码学博士,持有多项Web技术专利。

作品目录

  • 版权声明
  • 前言
  • 致谢
  • Justin Richer
  • Antonio Sanso
  • 关于本书
  • 路线图
  • 代码
  • 代码约定
  • 作者在线
  • 关于封面图片
  • 第一部分 起步
  • 第 1 章 OAuth 2.0是什么,为什么要关心它
  • 1.1 OAuth 2.0是什么
  • 1.2 黑暗的旧时代:凭据共享与凭据盗用
  • 1.3 授权访问
  • 1.4 OAuth 2.0:优点、缺点和丑陋的方面
  • 1.5 OAuth 2.0不能做什么
  • 1.6 小结
  • 第 2 章 OAuth之舞
  • 2.1 OAuth 2.0协议概览:获取和使用令牌
  • 2.2 OAuth 2.0授权许可的完整过程
  • 2.3 OAuth中的角色:客户端、授权服务器、资源拥有者、受保护资源
  • 2.4 OAuth的组件:令牌、权限范围和授权许可
  • 2.5 OAuth的角色与组件间的交互:后端信道、前端信道和端点
  • 2.6 小结
  • 第二部分 构建OAuth环境
  • 第 3 章 构建简单的OAuth客户端
  • 3.1 向授权服务器注册OAuth客户端
  • 3.2 使用授权码许可类型获取令牌
  • 3.3 使用令牌访问受保护资源
  • 3.4 刷新访问令牌
  • 3.5 小结
  • 第 4 章 构建简单的OAuth受保护资源
  • 4.1 解析HTTP请求中的OAuth令牌
  • 4.2 根据数据存储验证令牌
  • 4.3 根据令牌提供内容
  • 4.4 小结
  • 第 5 章 构建简单的OAuth授权服务器
  • 5.1 管理OAuth客户端注册
  • 5.2 对客户端授权
  • 5.3 令牌颁发
  • 5.4 支持刷新令牌
  • 5.5 增加授权范围的支持
  • 5.6 小结
  • 第 6 章 现实世界中的OAuth 2.0
  • 6.1 授权许可类型
  • 6.2 客户端部署
  • 6.3 小结
  • 第三部分 OAuth 2.0的实现与漏洞
  • 第 7 章 常见的客户端漏洞
  • 7.1 常规客户端安全
  • 7.2 针对客户端的CSRF攻击
  • 7.3 客户端凭据失窃
  • 7.4 客户端重定向URI注册
  • 7.5 授权码失窃
  • 7.6 令牌失窃
  • 7.7 原生应用最佳实践
  • 7.8 小结
  • 第 8 章 常见的受保护资源漏洞
  • 8.1 受保护资源会受到什么攻击
  • 8.2 受保护资源端点设计
  • 8.3 令牌重放
  • 8.4 小结
  • 第 9 章 常见的授权服务器漏洞
  • 9.1 常规安全
  • 9.2 会话劫持
  • 9.3 重定向URI篡改
  • 9.4 客户端假冒
  • 9.5 开放重定向器
  • 9.6 小结
  • 第 10 章 常见的OAuth令牌漏洞
  • 10.1 什么是bearer令牌
  • 10.2 使用bearer令牌的风险及注意事项
  • 10.3 如何保护bearer令牌
  • 10.4 授权码
  • 10.5 小结
  • 第四部分 更进一步
  • 第 11 章 OAuth令牌
  • 11.1 OAuth令牌是什么
  • 11.2 结构化令牌:JWT
  • 11.3 令牌的加密保护:JOSE
  • 11.4 在线获取令牌信息:令牌内省
  • 11.5 支持令牌撤回的令牌生命周期管理
  • 11.6 OAuth令牌的生命周期
  • 11.7 小结
  • 第 12 章 动态客户端注册
  • 12.1 服务器如何识别客户端
  • 12.2 运行时的客户端注册
  • 12.3 客户端元数据
  • 12.4 管理动态注册的客户端
  • 12.5 小结
  • 第 13 章 将OAuth 2.0用于用户身份认证
  • 13.1 为什么OAuth 2.0不是身份认证协议
  • 13.2 OAuth到身份认证协议的映射
  • 13.3 OAuth 2.0是如何使用身份认证的
  • 13.4 使用OAuth 2.0进行身份认证的常见陷阱
  • 13.5 OpenID Connect:一个基于OAuth 2.0的认证和身份标准
  • 13.6 构建一个简单的OpenID Connect系统
  • 13.7 小结
  • 第 14 章 使用OAuth 2.0的协议和配置规范
  • 14.1 UMA
  • 14.2 HEART
  • 14.3 iGov
  • 14.4 小结
  • 第 15 章 bearer令牌以外的选择
  • 15.1 为什么不能满足于bearer令牌
  • 15.2 PoP令牌
  • 15.3 PoP令牌实现
  • 15.4 TLS令牌绑定
  • 15.5 小结
  • 第 16 章 归纳总结
  • 16.1 正确的工具
  • 16.2 做出关键决策
  • 16.3 更大范围的生态系统
  • 16.4 社区
  • 16.5 未来
  • 16.6 小结
  • 附录 A 代码框架介绍
  • 附录 B 补充代码清单
  • 看完了
展开全部
声明:本站不产生/存储任何数据,所有资源均来自网络。