前言
致謝
作者簡介
第1章API就是一切1
1.1API經濟1
1.1.1實例2
1.1.2商業模式8
1.2API發展歷程9
1.3API管理14
1.4API在微服務中的作用18
1.5總結23
第2章API設計安全24
2.1三重困境25
2.2設計挑戰27
2.3設計原則32
2.4安全三要素39
2.5安全控制43
2.6總結47
第3章利用TLS協議保護API49
3.1搭建環境49
3.2部署訂單API51
3.3利用TLS協議保護訂單API53
3.4利用相互TLS協議保護
訂單API55
3.5在Docker容器中運行
OpenSSL56
3.6總結57
第4章OAuth 2.0協議基礎58
4.1OAuth 2.0協議簡介58
4.2OAuth 2.0協議參與者60
4.3授權模式60
4.4OAuth 2.0協議令牌類型68
4.5OAuth 2.0協議客戶類型69
4.6JWT保護的授權請求70
4.7推送授權請求72
4.8總結73
第5章API網關邊際安全75
5.1建立Zuul API網關75
5.2為Zuul API網關啟用TLS協議78
5.3在Zuul API網關處進行
OAuth 2.0令牌驗證80
5.3.1建立OAuth 2.0安全
令牌服務80
5.3.2測試OAuth 2.0安全
令牌服務82
5.3.3創建具備OAuth 2.0令牌
驗證功能的Zuul API網關84
5.4在Zuul API網關和訂單服務之間
啟用相互TLS協議86
5.5利用自包含訪問令牌保護
訂單API90
5.5.1建立授權服務器來發布JWT90
5.5.2利用JWT保護Zuul API網關92
5.6網絡應用防火牆的作用93
5.7總結94
第6章OpenID Connect協議95
6.1從OpenID協議到OIDC協議95
6.2亞馬遜公司仍在使用
OpenID 2.0協議98
6.3OpenID Connect協議簡介98
6.4ID令牌剖析99
6.5OpenID Connect協議請求103
6.6請求用戶屬性105
6.7OpenID Connect協議流程107
6.8請求定制用戶屬性108
6.9OpenID Connect協議發現108
6.10OpenID Connect協議身份
數據111
6.11動態客戶注冊112
6.12用於保護API的OpenID Connect
協議114
6.13總結115
第7章利用JSON Web簽名實現
消息級安全116
7.1JSON Web令牌簡介116
7.1.1JOSE頭部117
7.1.2JWT聲明集合118
7.1.3JWT簽名121
7.2JSON Web簽名123
7.2.1JWS緊湊序列124
7.2.2簽名過程（緊湊序列）127
7.2.3JWS JSON序列128
7.2.4簽名過程（JSON序列）130
7.3總結136
第8章利用JSON Web加密實現
消息級安全137
8.1JWE緊湊序列137
8.1.1JOSE頭部138
8.1.2JWE加密密鑰141
8.1.3JWE初始向量143
8.1.4JWE密文143
8.1.5JWE認證標簽143
8.1.6加密過程（緊湊序列）144
8.2JWE JSON序列145
8.2.1JWE受保護頭部145
8.2.2JWE共享未保護頭部145
8.2.3JWE各接收方未保護頭部146
8.2.4JWE初始向量146
8.2.5JWE密文146
8.2.6JWE認證標簽146
8.2.7加密過程（JSON序列）146
8.3嵌套JWT148
8.4總結154
第9章OAuth 2.0協議配置155
9.1令牌自省155
9.2鏈式授權方式158
9.3令牌交換160
9.4動態客戶注冊配置162
9.5令牌廢棄配置165
9.6總結166
第10章通過本地移動應用
訪問API167
10.1移動單點登錄167
10.2在本地移動應用中使用
OAuth 2.0協議170
10.2.1應用間通信171
10.2.2代碼交換證明密鑰172
10.3無瀏覽器應用174
10.4總結177
第11章OAuth 2.0協議
令牌綁定178
11.1令牌綁定簡介179
11.2令牌綁定協議協商相關的TLS
協議擴展180
11.3密鑰生成181
11.4所有權證明181
11.5針對OAuth 2.0協議更新令牌的
令牌綁定183
11.6針對OAuth 2.0協議授權碼/
訪問令牌的令牌綁定184
11.7TLS協議終止186
11.8總結186
第12章API聯合訪問188
12.1啟用聯合功能188
12.2代理認證189
12.3安全斷言標記語言191
12.4SAML 2.0客戶認證191
12.5OAuth 2.0協議SAML
授權模式194
12.6OAuth 2.0協議JWT授權模式196
12.7JWT授權模式應用197
12.8JWT客戶認證198
12.9JWT客戶認證應用199
12.10JWT解析驗證201
12.11總結202
第13章用戶管理訪問203
13.1應用示例203
13.2UMA 2.0協議角色205
13.3UMA協議206
13.4交互聲明收集209
13.5總結210
第14章OAuth 2.0協議安全211
14.1身份提供方混淆211
14.2跨站請求偽造214
14.3令牌重用215
14.4令牌洩露/導出217
14.5開放重定向器218
14.6代碼攔截攻擊220
14.7簡化授權模式中的安全
缺陷220
14.8谷歌文檔網絡釣魚攻擊221
14.9總結223
第15章 模式與實踐224
15.1利用可信子繫統進行直接
認證224
15.2利用代理訪問控制實現單點
登錄225
15.3利用集成Windows身份認證實現
單點登錄226
15.4利用代理訪問控制實現
身份代理227
15.5利用JSON Web令牌實現代理
訪問控制228
15.6利用JSON Web簽名實現
不可否認性229
15.7鏈式訪問代理230
15.8可信主訪問代理232
15.9利用代理訪問控制實現資源
安全令牌服務233
15.10以線上無憑據的方式實現
代理訪問控制235
15.11總結235
附錄236
附錄A身份委托技術的發展

企業API已經成為一種向外界開放業務功能的常見方式。開放功能確實很方便，但隨之而來的是被攻擊的風險。本書主要介紹的就是如何保護企業重要的商業資產，或者說如何保護API。與其他軟件繫統設計所面臨的情況一樣，人們在API的設計階段往往也會忽視安全因素，直到部署或整合階段，纔開始考慮安全問題。安全絕不是一個可以延後的問題—它在任何軟件繫統設計階段都是不可或缺的組成部分，並且應該在設計伊始就對其進行慎重考慮。本書的目標之一就是為讀者介紹安全的必要性，以及可用於保護API的手段。
本書將進行全流程的講解和指導，同時分享對API進行更安全設計的實踐。在過去幾年中，API安全已經有了長足的發展。API安全標準的數量呈指數級增長。其中，OAuth 2.0標準應用為廣泛，它不僅是一套標準，還是一個允許人們在其上構建解決方案的繫統框架。本書內容涵蓋從傳統的HTTP基本認證到OAuth 2.0協議，據此深入講解了用於保護API的多種技術，以及基於OAuth協議功能構建的上層協議，比如OpenID Connect協議、用戶管理訪問（User-Managed Access，UMA）協議等。
JSON格式在API通信中發揮了重要作用。目前開發的大部分API僅支持JSON格式，而不支持XML格式。在本書中，我們將重點關注JSON安全。基於JSON格式的Web加密（JSON Web Encryption，JWE）和基於JSON格式的Web簽名（JSON Web Signature，JWS）是兩種日益流行的JSON格式消息保護標準，本書的後半部分將詳細介紹JWE和JWS這兩種技術。
本書的另一個主要目標是，在介紹概念和理論的基礎上，進一步通過具體實例對其加以闡釋。本書將提供一繫列全面的示例來展示理論如何結合實際。在本書中，讀者將學會利用OAuth 2.0協議和相關的上層協議，通過Web應用、單頁面應用、本地移動應用和非瀏覽器應用來對API進行安全訪問。
我衷心希望本書能夠真正涵蓋API開發人員急需的主題內容，祝你閱讀愉快。