| | | OAuth 2實戰(圖靈出品) | 該商品所屬分類:圖書 -> 人民郵電出版社 | 【市場價】 | 982-1424元 | 【優惠價】 | 614-890元 | 【作者】 | 賈斯廷·裡徹安東尼奧·桑索楊鵬 | 【出版社】 | 人民郵電出版社 | 【ISBN】 | 9787115509376 | 【折扣說明】 | 一次購物滿999元台幣免運費+贈品 一次購物滿2000元台幣95折+免運費+贈品 一次購物滿3000元台幣92折+免運費+贈品 一次購物滿4000元台幣88折+免運費+贈品
| 【本期贈品】 | ①優質無紡布環保袋,做工棒!②品牌簽字筆 ③品牌手帕紙巾
| |
版本 | 正版全新電子版PDF檔 | 您已选择: | 正版全新 | 溫馨提示:如果有多種選項,請先選擇再點擊加入購物車。*. 電子圖書價格是0.69折,例如了得網價格是100元,電子書pdf的價格則是69元。 *. 購買電子書不支持貨到付款,購買時選擇atm或者超商、PayPal付款。付款後1-24小時內通過郵件傳輸給您。 *. 如果收到的電子書不滿意,可以聯絡我們退款。謝謝。 | | | | 內容介紹 | |
![](/c49/99/12513573.jpg)
出版社:人民郵電出版社 ISBN:9787115509376 版次:1 商品編碼:12513573 品牌:iTuring 包裝:平裝 開本:16開 出版時間:2019-04-01 用紙:膠版紙 頁數:279 正文語種:中文 作者:賈斯廷·裡徹,安東尼奧·桑索,楊鵬
" 編輯推薦 OAuth是互聯網公司廣泛使用的協議,守護著全球不計其數的Web API。本書從實戰角度出發,帶你領略OAuth生態繫統的秀美風光,並學會自己構建安全的客戶端、受保護資源和服務器,透徹理解OAuth 2的實現和部署流程,不僅知其然,還知其所以然。
本書重點講解以下內容: - OAuth 2的設計理念和重要性; - 構建OAuth 2生態繫統; - OAuth 2生態繫統的常見漏洞; - 針對OAuth令牌的常見攻擊; - 動態客戶端注冊。
“非常實用,告訴我們什麼該做,什麼不該做。”——Ian Glazer,Salesforce公司身份管理總監
“這本書的深度和廣度令人折服,推薦所有Web開發人員都看看。”——Thomas O'Rourke,軟件工程師
“內容簡潔、結構清晰,讓我對OAuth有了透徹了解。”——Roy Folkker,***讀者 內容簡介 本書深入探討OAuth的運行機制,詳細介紹如何在不安全的網絡環境下正確使用、部署OAuth,確保安全認證,是目前關於OAuth全面深入的參考資料。書中內容分為四大部分,分別概述OAuth 2.0協議,如何構建一個完整的OAuth 2.0生態繫統,OAuth 2.0生態繫統中各個部分可能出現的漏洞及其如何規避,以及更外圍生態繫統中的標準和規範。 作者簡介 【作者介紹】
賈斯廷·裡徹(Justin Richer),繫統架構師、軟件工程師,OAuth工作組重要成員,深度參與了OAuth 2核心規範的制定,任多個擴展規範的技術編輯,並領導開發了基於OAuth的服務端與客戶端套件MITREid Connect。
安東尼奧·桑索(Antonio Sanso),就職於Adobe公司,長期從事安全研究工作。應用密碼學博士,持有多項Web技術專利。
【譯者介紹】
楊鵬,畢業於四川大學電子信息學院信息安全研究所,目前從事Web前端開發,同時廣泛涉獵各技術領域。 目錄 第 一部分 起步 第1章 OAuth 2.0是什麼,為什麼要關心它2 1.1OAuth 2.0是什麼2 1.2黑暗的舊時代:憑據共享與憑據盜用5 1.3授權訪問9 1.3.1超越HTTP 基本認證協議和密碼共享反模式10 1.3.2授權委托:重要性及應用11 1.3.3用戶主導的安全與用戶的選擇12 1.4OAuth 2.0:優點、缺點和丑陋的方面13 1.5OAuth 2.0 不能做什麼15 1.6小結16 第2章 OAuth之舞17 2.1OAuth 2.0協議概覽:獲取和使用令牌17 2.2OAuth 2.0授權許可的完整過程17 2.3OAuth中的角色:客戶端、授權服務器、資源擁有者、受保護資源25 2.4OAuth的組件:令牌、權限範圍和授權許可27 2.4.1訪問令牌27 2.4.2權限範圍27 2.4.3刷新令牌27 2.4.4授權許可28 2.5OAuth的角色與組件間的交互:後端信道、前端信道和端點29 2.5.1後端信道通信29 2.5.2前端信道通信30 2.6小結32 第二部分構建OAuth環境 第3章構建簡單的OAuth客戶端34 3.1向授權服務器注冊OAuth客戶端34 3.2使用授權碼許可類型獲取令牌36 3.2.1發送授權請求37 3.2.2處理授權響應39 3.2.3使用state參數添加跨站保護40 3.3使用令牌訪問受保護資源41 3.4刷新訪問令牌43 3.5小結47 第4章構建簡單的OAuth受保護資源48 4.1解析HTTP請求中的OAuth令牌49 4.2根據數據存儲驗證令牌50 4.3根據令牌提供內容53 4.3.1不同的權限範圍對應不同的操作54 4.3.2不同的權限範圍對應不同的數據結果56 4.3.3不同的用戶對應不同的數據結果58 4.3.4額外的訪問控制61 4.4小結61 第5章構建簡單的OAuth授權服務器62 5.1管理OAuth客戶端注冊62 5.2對客戶端授權64 5.2.1授權端點64 5.2.2客戶端授權66 5.3令牌頒發68 5.3.1對客戶端進行身份認證69 5.3.2處理授權許可請求70 5.4支持刷新令牌72 5.5增加授權範圍的支持74 5.6小結77 第6章現實世界中的OAuth 2.078 6.1授權許可類型78 6.1.1隱式許可類型79 6.1.2客戶端憑據許可類型81 6.1.3資源擁有者憑據許可類型85 6.1.4斷言許可類型89 6.1.5選擇合適的許可類型91 6.2客戶端部署92 6.2.1Web應用93 6.2.2瀏覽器應用93 6.2.3原生應用94 6.2.4處理密鑰99 6.3小結100 第三部分OAuth 2.0的實現與漏洞 第7章常見的客戶端漏洞102 7.1常規客戶端安全102 7.2針對客戶端的CSRF攻擊103 7.3客戶端憑據失竊105 7.4客戶端重定向URI注冊107 7.4.1通過Referrer盜取授權碼108 7.4.2通過開放重定向器盜取令牌111 7.5授權碼失竊113 7.6令牌失竊114 7.7原生應用最佳實踐115 7.8小結116 第8章常見的受保護資源漏洞117 8.1受保護資源會受到什麼攻擊117 8.2受保護資源端點設計118 8.2.1如何保護資源端點118 8.2.2支持隱式許可126 8.3令牌重放128 8.4小結130 第9章常見的授權服務器漏洞131 9.1常規安全131 9.2會話劫持131 9.3重定向URI篡改134 9.4客戶端假冒138 9.5開放重定向器140 9.6小結142 第10章 常見的OAuth令牌漏洞143 10.1什麼是bearer令牌143 10.2使用bearer令牌的風險及注意事項144 10.3如何保護bearer令牌145 10.3.1在客戶端上145 10.3.2在授權服務器上146 10.3.3在受保護資源上146 10.4授權碼147 10.5小結152 第四部分更進一步 第11章 OAuth令牌154 11.1OAuth令牌是什麼154 11.2結構化令牌:JWT155 11.2.1JWT的結構156 11.2.2JWT聲明157 11.2.3在服務器上實現JWT158 11.3令牌的加密保護:JOSE160 11.3.1使用HS256的對稱簽名161 11.3.2使用RS256 的非對稱簽名162 11.3.3其他令牌保護方法165 11.4在線獲取令牌信息:令牌內省166 11.4.1內省協議167 11.4.2構建內省端點168 11.4.3發起令牌內省請求170 11.4.4將內省與JWT結合171 11.5支持令牌撤回的令牌生命周期管理172 11.5.1令牌撤回協議172 11.5.2實現令牌撤回端點173 11.5.3發起令牌撤回請求174 11.6OAuth 令牌的生命周期175 11.7小結177 第12章 動態客戶端注冊178 12.1服務器如何識別客戶端178 12.2運行時的客戶端注冊179 12.2.1協議的工作原理180 12.2.2為什麼要使用動態注冊181 12.2.3實現注冊端點183 12.2.4實現客戶端自行注冊186 12.3數據188 12.3.1核心數據字段名表188 12.3.2可讀的數據國際化190 12.3.3軟件聲明191 12.4管理動態注冊的客戶端192 12.4.1管理協議的工作原理193 12.4.2實現動態客戶端注冊管理API195 12.5小結202 第13章 將OAuth 2.0用於用戶身份認證203 13.1為什麼OAuth 2.0不是身份認證協議203 13.2OAuth到身份認證協議的映射205 13.3OAuth 2.0是如何使用身份認證的207 13.4使用OAuth 2.0進行身份認證的常見陷阱208 13.4.1將訪問令牌作為身份認證的證明208 13.4.2將對受保護API的訪問作為身份認證的證明209 13.4.3訪問令牌注入209 13.4.4缺乏目標受眾限制210 13.4.5無效用戶信息注入210 13.4.6不同身份提供者的協議各不相同210 13.5OpenID Connect:一個基於OAuth 2.0的認證和身份標準210 13.5.1ID令牌211 13.5.2UserInfo端點212 13.5.3動態服務器發現與客戶端注冊214 13.5.4與OAuth 2.0的兼容性216 13.5.5高級功能216 13.6構建一個簡單的OpenID Connect繫統217 13.6.1生成ID 令牌217 13.6.2創建UserInfo 端點219 13.6.3解析ID 令牌221 13.6.4獲取UserInfo222 13.7小結224 第14章 使用OAuth 2.0的協議和配置規範225 14.1UMA225 14.1.1UMA的重要性226 14.1.2UMA協議的工作原理227 14.2HEART237 14.2.1HEART的重要性237 14.2.2HEART規範238 14.2.3HEART機制維度的配置規範238 14.2.4HEART 語義維度的配置規範239 14.3iGov239 14.3.1iGov的重要性240 14.3.2iGov展望240 14.4小結240 第15章 bearer令牌以外的選擇241 15.1為什麼不能滿足於bearer令牌241 15.2PoP令牌242 15.2.1PoP令牌的請求與頒發245 15.2.2在受保護資源上使用PoP令牌246 15.2.3驗證PoP令牌請求246 15.3PoP令牌實現247 15.3.1頒發令牌和密鑰247 15.3.2生成簽名頭部並發送給受保護資源249 15.3.3解析頭部、內省令牌並驗證簽名250 15.4TLS令牌綁定252 15.5小結254 第16章 歸納總結255 16.1正確的工具255 16.2做出關鍵決策256 16.3更大範圍的生態繫統257 16.4社區257 16.5未來258 16.6小結259 附錄A代碼框架介紹260 附錄B補充代碼清單265 查看全部↓
" | | | | | |