OAuth 2实战-网络科技-文化科教-太极之巅书单号

书刊介绍

《OAuth 2实战》内容简介

本书深入探讨OAuth的运行机制，详细介绍如何在不安全的网络环境下正确使用、部署OAuth，确保安全认证，是目前关于OAuth最全面深入的参考资料。书中内容分为四大部分，分别概述OAuth2.0协议，如何构建一个完整的OAuth2.0生态系统，OAuth2.0生态系统中各个部分可能出现的漏洞及其如何规避，以及更外围生态系统中的标准和规范。
贾斯廷·里彻（Justin Richer），系统架构师、软件工程师，OAuth工作组重要成员，深度参与了OAuth2核心规范的制定，任多个扩展规范的技术编辑，并领导开发了基于OAuth的服务端与客户端套件MITREid Connect。
安东尼奥·桑索（Antonio Sanso），就职于Adobe公司，长期从事安全研究工作。应用密码学博士，持有多项Web技术专利。

作品目录

版权声明
序
前言
致谢
Justin
Richer
Antonio
Sanso
关于本书
路线图
代码
代码约定
作者在线
关于封面图片
第一部分
起步
第
1、章：OAuth
2.0是什么，为什么要关心它
1.1、OAuth
2.0是什么
1.2、黑暗的旧时代：凭据共享与凭据盗用
1.3、授权访问
1.4、OAuth
2.0：优点、缺点和丑陋的方面
1.5、OAuth
2.0不能做什么
1.6、小结
第
2、章：OAuth之舞
2.1、OAuth
2.0协议概览：获取和使用令牌
2.2、OAuth
2.0授权许可的完整过程
2.3、OAuth中的角色：客户端、授权服务器、资源拥有者、受保护资源
2.4、OAuth的组件：令牌、权限范围和授权许可
2.5、OAuth的角色与组件间的交互：后端信道、前端信道和端点
2.6、小结
第二部分
构建OAuth环境
第
3、章：构建简单的OAuth客户端
3.1、向授权服务器注册OAuth客户端
3.2、使用授权码许可类型获取令牌
3.3、使用令牌访问受保护资源
3.4、刷新访问令牌
3.5、小结
第
4、章：构建简单的OAuth受保护资源
4.1、解析HTTP请求中的OAuth令牌
4.2、根据数据存储验证令牌
4.3、根据令牌提供内容
4.4、小结
第
5、章：构建简单的OAuth授权服务器
5.1、管理OAuth客户端注册
5.2、对客户端授权
5.3、令牌颁发
5.4、支持刷新令牌
5.5、增加授权范围的支持
5.6、小结
第
6、章：现实世界中的OAuth
2.0、6.1、授权许可类型
6.2、客户端部署
6.3、小结
第三部分
OAuth
2.0的实现与漏洞
第
7、章：常见的客户端漏洞
7.1、常规客户端安全
7.2、针对客户端的CSRF攻击
7.3、客户端凭据失窃
7.4、客户端重定向URI注册
7.5、授权码失窃
7.6、令牌失窃
7.7、原生应用最佳实践
7.8、小结
第
8、章：常见的受保护资源漏洞
8.1、受保护资源会受到什么攻击
8.2、受保护资源端点设计
8.3、令牌重放
8.4、小结
第
9、章：常见的授权服务器漏洞
9.1、常规安全
9.2、会话劫持
9.3、重定向URI篡改
9.4、客户端假冒
9.5、开放重定向器
9.6、小结
第
10、章：常见的OAuth令牌漏洞
10.1、什么是bearer令牌
10.2、使用bearer令牌的风险及注意事项
10.3、如何保护bearer令牌
10.4、授权码
10.5、小结
第四部分
更进一步
第
11、章：OAuth令牌
11.1、OAuth令牌是什么
11.2、结构化令牌：JWT
11.3、令牌的加密保护：JOSE
11.4、在线获取令牌信息：令牌内省
11.5、支持令牌撤回的令牌生命周期管理
11.6、OAuth令牌的生命周期
11.7、小结
第
12、章：动态客户端注册
12.1、服务器如何识别客户端
12.2、运行时的客户端注册
12.3、客户端元数据
12.4、管理动态注册的客户端
12.5、小结
第
13、章：将OAuth
2.0用于用户身份认证
13.1、为什么OAuth
2.0不是身份认证协议
13.2、OAuth到身份认证协议的映射
13.3、OAuth
2.0是如何使用身份认证的
13.4、使用OAuth
2.0进行身份认证的常见陷阱
13.5、OpenID
Connect：一个基于OAuth
2.0的认证和身份标准
13.6、构建一个简单的OpenID
Connect系统
13.7、小结
第
14、章：使用OAuth
2.0的协议和配置规范
14.1、UMA
14.2、HEART
14.3、iGov
14.4、小结
第
15、章：bearer令牌以外的选择
15.1、为什么不能满足于bearer令牌
15.2、PoP令牌
15.3、PoP令牌实现
15.4、TLS令牌绑定
15.5、小结
第
16、章：归纳总结
16.1、正确的工具
16.2、做出关键决策
16.3、更大范围的生态系统
16.4、社区
16.5、未来
16.6、小结
附录
A
代码框架介绍
附录
B
补充代码清单
看完了