深入探讨OAuth的运行机制,详细介绍如何在不安全的网络环境下正确使用、部署OAuth,确保安全认证,是目前关于OAuth最全面深入的参考资料。《OAuth 2实战》内容分为四大部分,分别概述OAuth 2.0协议,如何构建一个完整的OAuth 2.0生态系统,OAuth 2.0生态系统中各个部分可能出现的漏洞及其如何规避,以及更外围生态系统中的标准和规范。
《OAuth 2实战》中文PDF+英文PDF+源代码
《OAuth 2实战》中文PDF,302页,带目录,文字可复制;《OAuth 2实战》英文PDF,566页,带书签,文字可复制;配套源代码。
下载: https://pan.baidu.com/s/1B4NSvV0eo8rSpawrtvv4vw
提取码: u76m
应该是目前市面上第一本关于OAuth2的书籍,翻译得不错,读起来顺畅。书的内容也很好,全程实现OAuth涉及的所有组件,对着书中的内容实现了一遍,学到了很多。想了解OAuth学,强烈推荐。
《OAuth 2实战》分为4个部分,总共16章。第一部分由第1~2章构成,概述了OAuth 2.0协议,可以说是核心阅读材料。第二部分由第3~6章构成,展示了如何构建一个完整的OAuth 2.0生态系统。第三部分由第7~10章构成,讨论了OAuth 2.0生态系统中各个部分可能出现的漏洞,以及如何规避。最后一部分由第11~16章构成,这一部分跳出OAuth 2.0协议的核心部分,探讨更外围生态系统中的标准和规范,最后还进行了总结。
第1章概述了OAuth 2.0,讲述了开发它的动机,还介绍了OAuth出现之前与API安全相关的方法。
第2章深入讲解授权码许可类型,这是OAuth 2.0核心中最常用、最典型的一种许可类型。
第3~5章分别展示如何构建简易但功能完整的OAuth 2.0客户端、受保护的资源服务器,以及授权服务器。
第6章讨论OAuth 2.0协议内部的多样性,介绍了授权码之外的其他许可类型,还讨论了原生应用中的许可类型。
第7~9章分别讨论OAuth 2.0客户端、受保护资源及授权服务器中常见的漏洞,以及如何避免这些漏洞。
第10章讨论OAuth 2.0中bearer令牌和授权码的弱点,针对它们的攻击,以及如何规避。
第11章介绍JSON Web Token(JWT)及其所用的编码机制JOSE,还包括令牌内省和撤回,这些主题完整覆盖了令牌的生命周期。
第12章介绍动态客户端注册,并讨论它对OAuth 2.0生态系统的影响。
第13章先解释为什么OAuth 2.0不是身份认证协议,继而介绍如何基于它使用OpenID Connect构建一个身份认证协议。
第14章介绍构建于OAuth 2.0之上的User Managed Access(UMA)协议,该协议允许用户对用户(user-to-user)的分享。这一章还介绍了HEART和iGov这两个OAuth 2.0配置规范以及OpenID Connect,以及这些协议在特定行业领域中是如何应用的。
下载: https://pan.baidu.com/s/1-fBtcR7Xsy6dtsfYzBMvGA
提取码: enbc
第15章指出OAuth 2.0核心规范中的常规bearer令牌并不能满足所有需求,并描述了Proof of Possession(PoP)令牌及TLS令牌绑定如何与OAuth 2.0协同工作。
第16章进行总结,并指导如何进一步应用这些知识,还介绍了相关代码库以及范围更广的社区。
若有收获,就点个赞吧
0 人点赞
