了得網圖書_OAuth 2實戰(圖靈出品)

第一部分起步
第1章 OAuth 2．0是什麼，為什麼要關心它2
1．1OAuth 2．0是什麼2
1．2黑暗的舊時代：憑據共享與憑據盜用5
1．3授權訪問9
1．3．1超越HTTP 基本認證協議和密碼共享反模式10
1．3．2授權委托：重要性及應用11
1．3．3用戶主導的安全與用戶的選擇12
1．4OAuth 2．0：優點、缺點和丑陋的方面13
1．5OAuth 2．0 不能做什麼15
1．6小結16
第2章 OAuth之舞17
2．1OAuth 2．0協議概覽：獲取和使用令牌17
2．2OAuth 2．0授權許可的完整過程17
2．3OAuth中的角色：客戶端、授權服務器、資源擁有者、受保護資源25
2．4OAuth的組件：令牌、權限範圍和授權許可27
2．4．1訪問令牌27
2．4．2權限範圍27
2．4．3刷新令牌27
2．4．4授權許可28
2．5OAuth的角色與組件間的交互：後端信道、前端信道和端點29
2．5．1後端信道通信29
2．5．2前端信道通信30
2．6小結32
第二部分構建OAuth環境
第3章構建簡單的OAuth客戶端34
3．1向授權服務器注冊OAuth客戶端34
3．2使用授權碼許可類型獲取令牌36
3．2．1發送授權請求37
3．2．2處理授權響應39
3．2．3使用state參數添加跨站保護40
3．3使用令牌訪問受保護資源41
3．4刷新訪問令牌43
3．5小結47
第4章構建簡單的OAuth受保護資源48
4．1解析HTTP請求中的OAuth令牌49
4．2根據數據存儲驗證令牌50
4．3根據令牌提供內容53
4．3．1不同的權限範圍對應不同的操作54
4．3．2不同的權限範圍對應不同的數據結果56
4．3．3不同的用戶對應不同的數據結果58
4．3．4額外的訪問控制61
4．4小結61
第5章構建簡單的OAuth授權服務器62
5．1管理OAuth客戶端注冊62
5．2對客戶端授權64
5．2．1授權端點64
5．2．2客戶端授權66
5．3令牌頒發68
5．3．1對客戶端進行身份認證69
5．3．2處理授權許可請求70
5．4支持刷新令牌72
5．5增加授權範圍的支持74
5．6小結77
第6章現實世界中的OAuth 2．078
6．1授權許可類型78
6．1．1隱式許可類型79
6．1．2客戶端憑據許可類型81
6．1．3資源擁有者憑據許可類型85
6．1．4斷言許可類型89
6．1．5選擇合適的許可類型91
6．2客戶端部署92
6．2．1Web應用93
6．2．2瀏覽器應用93
6．2．3原生應用94
6．2．4處理密鑰99
6．3小結100
第三部分OAuth 2．0的實現與漏洞
第7章常見的客戶端漏洞102
7．1常規客戶端安全102
7．2針對客戶端的CSRF攻擊103
7．3客戶端憑據失竊105
7．4客戶端重定向URI注冊107
7．4．1通過Referrer盜取授權碼108
7．4．2通過開放重定向器盜取令牌111
7．5授權碼失竊113
7．6令牌失竊114
7．7原生應用最佳實踐115
7．8小結116
第8章常見的受保護資源漏洞117
8．1受保護資源會受到什麼攻擊117
8．2受保護資源端點設計118
8．2．1如何保護資源端點118
8．2．2支持隱式許可126
8．3令牌重放128
8．4小結130
第9章常見的授權服務器漏洞131
9．1常規安全131
9．2會話劫持131
9．3重定向URI篡改134
9．4客戶端假冒138
9．5開放重定向器140
9．6小結142
第10章常見的OAuth令牌漏洞143
10．1什麼是bearer令牌143
10．2使用bearer令牌的風險及注意事項144
10．3如何保護bearer令牌145
10．3．1在客戶端上145
10．3．2在授權服務器上146
10．3．3在受保護資源上146
10．4授權碼147
10．5小結152
第四部分更進一步
第11章 OAuth令牌154
11．1OAuth令牌是什麼154
11．2結構化令牌：JWT155
11．2．1JWT的結構156
11．2．2JWT聲明157
11．2．3在服務器上實現JWT158
11．3令牌的加密保護：JOSE160
11．3．1使用HS256的對稱簽名161
11．3．2使用RS256 的非對稱簽名162
11．3．3其他令牌保護方法165
11．4在線獲取令牌信息：令牌內省166
11．4．1內省協議167
11．4．2構建內省端點168
11．4．3發起令牌內省請求170
11．4．4將內省與JWT結合171
11．5支持令牌撤回的令牌生命周期管理172
11．5．1令牌撤回協議172
11．5．2實現令牌撤回端點173
11．5．3發起令牌撤回請求174
11．6OAuth 令牌的生命周期175
11．7小結177
第12章動態客戶端注冊178
12．1服務器如何識別客戶端178
12．2運行時的客戶端注冊179
12．2．1協議的工作原理180
12．2．2為什麼要使用動態注冊181
12．2．3實現注冊端點183
12．2．4實現客戶端自行注冊186
12．3數據188
12．3．1核心數據字段名表188
12．3．2可讀的數據國際化190
12．3．3軟件聲明191
12．4管理動態注冊的客戶端192
12．4．1管理協議的工作原理193
12．4．2實現動態客戶端注冊管理API195
12．5小結202
第13章將OAuth 2．0用於用戶身份認證203
13．1為什麼OAuth 2．0不是身份認證協議203
13．2OAuth到身份認證協議的映射205
13．3OAuth 2．0是如何使用身份認證的207
13．4使用OAuth 2．0進行身份認證的常見陷阱208
13．4．1將訪問令牌作為身份認證的證明208
13．4．2將對受保護API的訪問作為身份認證的證明209
13．4．3訪問令牌注入209
13．4．4缺乏目標受眾限制210
13．4．5無效用戶信息注入210
13．4．6不同身份提供者的協議各不相同210
13．5OpenID Connect：一個基於OAuth 2．0的認證和身份標準210
13．5．1ID令牌211
13．5．2UserInfo端點212
13．5．3動態服務器發現與客戶端注冊214
13．5．4與OAuth 2．0的兼容性216
13．5．5高級功能216
13．6構建一個簡單的OpenID Connect繫統217
13．6．1生成ID 令牌217
13．6．2創建UserInfo 端點219
13．6．3解析ID 令牌221
13．6．4獲取UserInfo222
13．7小結224
第14章使用OAuth 2．0的協議和配置規範225
14．1UMA225
14．1．1UMA的重要性226
14．1．2UMA協議的工作原理227
14．2HEART237
14．2．1HEART的重要性237
14．2．2HEART規範238
14．2．3HEART機制維度的配置規範238
14．2．4HEART 語義維度的配置規範239
14．3iGov239
14．3．1iGov的重要性240
14．3．2iGov展望240
14．4小結240
第15章 bearer令牌以外的選擇241
15．1為什麼不能滿足於bearer令牌241
15．2PoP令牌242
15．2．1PoP令牌的請求與頒發245
15．2．2在受保護資源上使用PoP令牌246
15．2．3驗證PoP令牌請求246
15．3PoP令牌實現247
15．3．1頒發令牌和密鑰247
15．3．2生成簽名頭部並發送給受保護資源249
15．3．3解析頭部、內省令牌並驗證簽名250
15．4TLS令牌綁定252
15．5小結254
第16章歸納總結255
16．1正確的工具255
16．2做出關鍵決策256
16．3更大範圍的生態繫統257
16．4社區257
16．5未來258
16．6小結259
附錄A代碼框架介紹260
附錄B補充代碼清單265

查看全部↓

商品搜索

商品分类

【醫學】

【各大出版社】

【医学】

【各大出版社】

編輯推薦

內容簡介

作者簡介

目錄