编辑推荐
本书详细讲解了Web系统中API技术所面临的弱点和所需要防御的方方面面。
内容简介
全书分为5部分共13章。
第一部分介绍了API安全的基本原理,是本书其余内容的基础;
第二部分更详细地介绍了RESTful API的身份验证机制;
第三部分介绍了授权相关的内容;
第四部分深入探讨了如何确保运行在Kubernetes环境下的微服务API的安全性;
第五部分介绍物联网中的API。
作者简介
作者尼尔·马登,他对应用密码学、应用安全以及当前的API安全技术有着深入的了解。他做了20年的程序员,拥有计算机科学博士学位。
章节目录
版权信息
译者序
前言
致谢
关于本书
关于作者
第一部分 基础
第1章 什么是API安全
1.1 打个比方:参加驾照考试
1.2 什么是API
1.3 API安全上下文
1.4 API安全要素
1.5 安全机制
小测验答案
小结
第2章 安全API开发
2.1 Natter API
2.2 开发REST API
2.3 连接REST终端
2.4 注入攻击
2.5 输入验证
2.6 生成安全的输出
小测验答案
小结
第3章 加固Natter API
3.1 使用安全控制来处置威胁
3.2 速率限制解决可用性
3.3 使用身份验证抵御欺骗
3.4 使用加密确保数据不公开
3.5 使用审计日志问责
3.6 访问控制
小测验答案
小结
第二部分 基于令牌的身份验证
第4章 会话Cookie验证
4.1 Web浏览器的身份验证
4.2 基于令牌的身份验证
4.3 Session Cookie
4.4 防范跨站请求伪造攻击
4.5 构建Natter登录UI
4.6 实现注销
小测验答案
小结
第5章 最新的基于令牌的身份验证
5.1 使用CORS允许跨域请求
5.2 不使用Cookie的令牌
5.3 加固数据库令牌存储
小测验答案
小结
第6章 自包含令牌和JWT
6.1 在客户端存储令牌状态
6.2 JSON Web令牌
6.3 加密敏感属性
6.4 使用安全类型来加固API设计
6.5 处理令牌撤销
小测验答案
小结
第三部分 授权
第7章 OAuth2和OpenID Connect
7.1 作用域令牌
7.2 OAuth2简介
7.3 授权码许可
7.4 验证访问令牌
7.5 单点登录
7.6 OpenID Connect
小测验答案
小结
第8章 基于身份的访问控制
8.1 用户和组
8.2 基于角色的访问控制
8.3 基于属性的访问控制
小测验答案
小结
第9章 基于能力的安全和Macaroon
9.1 基于能力的安全
9.2 能力和REST API
9.3 Macaroon:含有caveat的令牌
小测验答案
小结
第四部分 Kubernetes中的微服务API及服务到服务API的安全
第10章 Kubernetes中的微服务API
10.1 Kubernetes上的微服务API
10.2 在Kubernetes上部署Natter API
10.3 确保微服务通信安全
10.4 确保输入请求的安全性
小测验答案
小结
第11章 服务到服务API的安全
11.1 API密钥和JWT Bearer身份验证
11.2 OAuth2客户端凭证许可
11.3 OAuth2的JWT Bearer许可
11.4 Mutual TLS验证
11.5 管理服务凭证
11.6 响应用户请求的服务API调用
小测验答案
小结
第五部分 用于物联网的API
第12章 物联网通信安全
12.1 传输层安全
12.2 预共享密钥
12.3 端到端安全
12.4 密钥分发与管理
小测验答案
小结
第13章 物联网API安全
13.1 设备验证
13.2 端到端验证
13.3 受限环境下的OAuth2
13.4 离线访问控制
小测验答案
小结
附录A 配置Java和Maven
A.1 Java和Maven
A.1.1 macOS
A.1.2 Windows
A.1.3 Linux
A.2 安装Docker
A.3 安装授权服务器
A.4 安装LDAP目录服务
附录B 配置Kubernets
B.1 macOS
B.1.1 VirtualBox
B.1.2 Minikube
B.2 Linux
B.2.1 VirtualBox
B.2.2 Minikube
B.3 Windows
B.3.1 VirtualBox
B.3.2 Minikube
API安全实战是2022年由机械工业出版社华章分社出版,作者[美] 尼尔·马登。
得书感谢您对《API安全实战》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
