得书 - 好书推荐、正版图书免费阅读

编辑推荐

详尽介绍OAuth生态系统及其工作原理，OAuth工作组重要成员执笔，掌握Web安全知识常备。

内容简介

本书深入探讨OAuth的运行机制，详细介绍如何在不安全的网络环境下正确使用、部署OAuth，确保安全认证，是目前关于OAuth全面深入的参考资料。书中内容分为四大部分，分别概述OAuth 2.0协议，如何构建一个完整的OAuth 2.0生态系统，OAuth 2.0生态系统中各个部分可能出现的漏洞及其如何规避，以及更外围生态系统中的标准和规范。

作者简介

作者贾斯廷·里彻，系统架构师、软件工程师，OAuth工作组重要成员，深度参与了OAuth 2核心规范的制定，任多个扩展规范的技术编辑，并领导开发了基于OAuth的服务端与客户端套件MITREid Connect。

章节目录

版权信息

序

前言

致谢

Justin Richer

Antonio Sanso

关于本书

路线图

代码

代码约定

作者在线

电子书

关于封面图片

第一部分 起步

第1章 OAuth 2.0是什么，为什么要关心它

1.1 OAuth 2.0是什么

1.2 黑暗的旧时代：凭据共享与凭据盗用

1.3 授权访问

1.4 OAuth 2.0：优点、缺点和丑陋的方面

1.5 OAuth 2.0不能做什么

1.6 小结

第2章 OAuth之舞

2.1 OAuth 2.0协议概览：获取和使用令牌

2.2 OAuth 2.0授权许可的完整过程

2.3 OAuth中的角色：客户端、授权服务器、资源拥有者、受保护资源

2.4 OAuth的组件：令牌、权限范围和授权许可

2.5 OAuth的角色与组件间的交互：后端信道、前端信道和端点

2.6 小结

第二部分 构建OAuth环境

第3章 构建简单的OAuth客户端

3.1 向授权服务器注册OAuth客户端

3.2 使用授权码许可类型获取令牌

3.3 使用令牌访问受保护资源

3.4 刷新访问令牌

3.5 小结

第4章 构建简单的OAuth受保护资源

4.1 解析HTTP请求中的OAuth令牌

4.2 根据数据存储验证令牌

4.3 根据令牌提供内容

4.4 小结

第5章 构建简单的OAuth授权服务器

5.1 管理OAuth客户端注册

5.2 对客户端授权

5.3 令牌颁发

5.4 支持刷新令牌

5.5 增加授权范围的支持

5.6 小结

第6章 现实世界中的OAuth 2.0

6.1 授权许可类型

6.2 客户端部署

6.3 小结

第三部分 OAuth 2.0的实现与漏洞

第7章 常见的客户端漏洞

7.1 常规客户端安全

7.2 针对客户端的CSRF攻击

7.3 客户端凭据失窃

7.4 客户端重定向URI注册

7.5 授权码失窃

7.6 令牌失窃

7.7 原生应用最佳实践

7.8 小结

第8章 常见的受保护资源漏洞

8.1 受保护资源会受到什么攻击

8.2 受保护资源端点设计

8.3 令牌重放

8.4 小结

第9章 常见的授权服务器漏洞

9.1 常规安全

9.2 会话劫持

9.3 重定向URI篡改

9.4 客户端假冒

9.5 开放重定向器

9.6 小结

第10章 常见的OAuth令牌漏洞

10.1 什么是bearer令牌

10.2 使用bearer令牌的风险及注意事项

10.3 如何保护bearer令牌

10.4 授权码

10.5 小结

第四部分 更进一步

第11章 OAuth令牌

11.1 OAuth令牌是什么

11.2 结构化令牌：JWT

11.3 令牌的加密保护：JOSE

11.4 在线获取令牌信息：令牌内省

11.5 支持令牌撤回的令牌生命周期管理

11.6 OAuth令牌的生命周期

11.7 小结

第12章 动态客户端注册

12.1 服务器如何识别客户端

12.2 运行时的客户端注册

12.3 客户端元数据

12.4 管理动态注册的客户端

12.5 小结

第13章 将OAuth 2.0用于用户身份认证

13.1 为什么OAuth 2.0不是身份认证协议

13.2 OAuth到身份认证协议的映射

13.3 OAuth 2.0是如何使用身份认证的

13.4 使用OAuth 2.0进行身份认证的常见陷阱

13.5 OpenID Connect：一个基于OAuth 2.0的认证和身份标准

13.6 构建一个简单的OpenID Connect系统

13.7 小结

第14章 使用OAuth 2.0的协议和配置规范

14.1 UMA

14.2 HEART

14.3 iGov

14.4 小结

第15章 bearer令牌以外的选择

15.1 为什么不能满足于bearer令牌

15.2 PoP令牌

15.3 PoP令牌实现

15.4 TLS令牌绑定

15.5 小结

第16章 归纳总结

16.1 正确的工具

16.2 做出关键决策

16.3 更大范围的生态系统

16.4 社区

16.5 未来

16.6 小结

附录A 代码框架介绍

附录B 补充代码清单

OAuth2实战是2019年由人民邮电出版社·图灵出品出版,作者[美]贾斯廷·里彻。

得书感谢您对《OAuth2实战》关注和支持，如本书内容有不良信息或侵权等情形的，请联系本网站。