互联网 类型
8.4 豆瓣评分
可以朗读 语音朗读
276千字 字数
2019-04-01 发行日期
展开全部

主编推荐语

详尽介绍OAuth生态系统及其工作原理,OAuth工作组重要成员执笔,掌握Web安全知识常备。

内容简介

本书深入探讨OAuth的运行机制,详细介绍如何在不安全的网络环境下正确使用、部署OAuth,确保安全认证,是目前关于OAuth最全面深入的参考资料。书中内容分为四大部分,分别概述OAuth 2.0协议,如何构建一个完整的OAuth 2.0生态系统,OAuth 2.0生态系统中各个部分可能出现的漏洞以及如何规避,以及更外围生态系统中的标准和规范。

目录

  • 版权信息
  • 前言
  • 致谢
  • Justin Richer
  • Antonio Sanso
  • 关于本书
  • 路线图
  • 代码
  • 代码约定
  • 作者在线
  • 电子书
  • 关于封面图片
  • 第一部分 起步
  • 第1章 OAuth 2.0是什么,为什么要关心它
  • 1.1 OAuth 2.0是什么
  • 1.2 黑暗的旧时代:凭据共享与凭据盗用
  • 1.3 授权访问
  • 1.4 OAuth 2.0:优点、缺点和丑陋的方面
  • 1.5 OAuth 2.0不能做什么
  • 1.6 小结
  • 第2章 OAuth之舞
  • 2.1 OAuth 2.0协议概览:获取和使用令牌
  • 2.2 OAuth 2.0授权许可的完整过程
  • 2.3 OAuth中的角色:客户端、授权服务器、资源拥有者、受保护资源
  • 2.4 OAuth的组件:令牌、权限范围和授权许可
  • 2.5 OAuth的角色与组件间的交互:后端信道、前端信道和端点
  • 2.6 小结
  • 第二部分 构建OAuth环境
  • 第3章 构建简单的OAuth客户端
  • 3.1 向授权服务器注册OAuth客户端
  • 3.2 使用授权码许可类型获取令牌
  • 3.3 使用令牌访问受保护资源
  • 3.4 刷新访问令牌
  • 3.5 小结
  • 第4章 构建简单的OAuth受保护资源
  • 4.1 解析HTTP请求中的OAuth令牌
  • 4.2 根据数据存储验证令牌
  • 4.3 根据令牌提供内容
  • 4.4 小结
  • 第5章 构建简单的OAuth授权服务器
  • 5.1 管理OAuth客户端注册
  • 5.2 对客户端授权
  • 5.3 令牌颁发
  • 5.4 支持刷新令牌
  • 5.5 增加授权范围的支持
  • 5.6 小结
  • 第6章 现实世界中的OAuth 2.0
  • 6.1 授权许可类型
  • 6.2 客户端部署
  • 6.3 小结
  • 第三部分 OAuth 2.0的实现与漏洞
  • 第7章 常见的客户端漏洞
  • 7.1 常规客户端安全
  • 7.2 针对客户端的CSRF攻击
  • 7.3 客户端凭据失窃
  • 7.4 客户端重定向URI注册
  • 7.5 授权码失窃
  • 7.6 令牌失窃
  • 7.7 原生应用最佳实践
  • 7.8 小结
  • 第8章 常见的受保护资源漏洞
  • 8.1 受保护资源会受到什么攻击
  • 8.2 受保护资源端点设计
  • 8.3 令牌重放
  • 8.4 小结
  • 第9章 常见的授权服务器漏洞
  • 9.1 常规安全
  • 9.2 会话劫持
  • 9.3 重定向URI篡改
  • 9.4 客户端假冒
  • 9.5 开放重定向器
  • 9.6 小结
  • 第10章 常见的OAuth令牌漏洞
  • 10.1 什么是bearer令牌
  • 10.2 使用bearer令牌的风险及注意事项
  • 10.3 如何保护bearer令牌
  • 10.4 授权码
  • 10.5 小结
  • 第四部分 更进一步
  • 第11章 OAuth令牌
  • 11.1 OAuth令牌是什么
  • 11.2 结构化令牌:JWT
  • 11.3 令牌的加密保护:JOSE
  • 11.4 在线获取令牌信息:令牌内省
  • 11.5 支持令牌撤回的令牌生命周期管理
  • 11.6 OAuth令牌的生命周期
  • 11.7 小结
  • 第12章 动态客户端注册
  • 12.1 服务器如何识别客户端
  • 12.2 运行时的客户端注册
  • 12.3 客户端元数据
  • 12.4 管理动态注册的客户端
  • 12.5 小结
  • 第13章 将OAuth 2.0用于用户身份认证
  • 13.1 为什么OAuth 2.0不是身份认证协议
  • 13.2 OAuth到身份认证协议的映射
  • 13.3 OAuth 2.0是如何使用身份认证的
  • 13.4 使用OAuth 2.0进行身份认证的常见陷阱
  • 13.5 OpenID Connect:一个基于OAuth 2.0的认证和身份标准
  • 13.6 构建一个简单的OpenID Connect系统
  • 13.7 小结
  • 第14章 使用OAuth 2.0的协议和配置规范
  • 14.1 UMA
  • 14.2 HEART
  • 14.3 iGov
  • 14.4 小结
  • 第15章 bearer令牌以外的选择
  • 15.1 为什么不能满足于bearer令牌
  • 15.2 PoP令牌
  • 15.3 PoP令牌实现
  • 15.4 TLS令牌绑定
  • 15.5 小结
  • 第16章 归纳总结
  • 16.1 正确的工具
  • 16.2 做出关键决策
  • 16.3 更大范围的生态系统
  • 16.4 社区
  • 16.5 未来
  • 16.6 小结
  • 附录A 代码框架介绍
  • 附录B 补充代码清单
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    OAuth 是一个非常强大的工具,它的强大来自其灵活性,灵活性通常意味着它不仅能够完成你的构想,而且也会带来安全问题。OAuth 管理 API 的访问权限,守护着重要数据,所以最关键的是避免反模式,运用最佳实践,以安全的方式使用它。换句话说,虽然它的灵活性让你可以以任何方式使用和部署它,但并不意味着你应该那样随意。

      转发
      评论

    出版方

    人民邮电出版社·图灵出品

    图灵社区成立于2005年6月,由人民邮电出版社投资控股,以策划出版高质量的科技书籍为核心业务,主要出版领域包括计算机、电子电气、数学统计、科普等,通过引进国际高水平的教材、专著,以及发掘国内优秀原创作品等途径,为目标读者提供一流的内容。