OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全
( d% T4 @# n' l& k 作者: 周建毅(Miles)
( }" O0 P' X& e, f* ^ 出版社:博碩
" R8 H+ n( E# h _ A 出版日期:2022/12/161 U$ j0 @" ~) ?
內容簡介
% R7 W% G! ]/ p" a3 K F/ p" H s 帶你一次了解 OAuth 2.0 與 OpenID Connect 的完整流程!
* U; I* [" R Z3 \# ? Web 平台已是現今網路生態不可或缺的一部分。當建立新的應用程式時,可能會想要取得使用者在其他平台上的資訊,但這個過程充滿了許多資安風險。身為程式與架構的開發團隊,該如何使用正確的技術,來保護應用程式和使用者呢?+ E9 K# H, P. y' q3 I2 ?6 i
本書將會介紹目前zui穩定的兩個協定:OAuth 2.0 與 OpenID Connect 的完整流程以及實作。此外,本書在一開始也會介紹身分驗證與授權的基本元素,讓讀者能夠輕鬆理解協定設計的基本原理,而不再是一知半解。, R2 i& |9 Z- r3 p2 L: \
漸進式學習主題" ^9 B- l* S9 r1 ]
● 了解身分驗證概論以及 Web 基礎
8 W# H5 R' h$ } 基礎是非常重要的,在 OAuth 2.0 上更是如此。從身分驗證概論、HTTP 協定的特性、演算法的基礎,接著延伸到身分驗證的實作,這些都是後續理解協定須具備的前置技能。
$ w2 O! ?: ^5 q8 X' T2 M ● OAuth 2.0 與擴充協定的介紹
3 A8 M q; ]% u" y2 Q 本書將整理官方協定,並按適合初學者學習的順序來安排章節。其中包括 OAuth 2.0 的四種基本授權流程、原生應用程式與瀏覽器應用程式的授權流程,以及 OpenID Connect 的三種身分驗證流程,已涵蓋大多數的身分驗證與授權情境。讀者可依實務遇到的情境來選擇適合的流程參考。( o$ T' [* ]% v; u+ {
● OAuth 2.0 實戰練習
k/ S* B4 z) R \ ?" b 了解協定後,接著以實作來證明協定的可行性。應用程式的部分,OAuth 2.0 會以 Facebook 為例,OpenID Connect 會以 LINE Login 為例來說明實作的過程;授權伺服器端則是以開源的服務 Hydra 為例,來介紹實際身分驗證與授權中心會需要處理的任務為何。
- f: t! g% w, l7 W2 ? 本書特色
' g. e0 q8 A; H5 d- _/ _ ? 參考公開標準和協定撰寫成章& B( H3 v' j+ I4 @. T
? 循序介紹 OAuth 2.0 基本原理- s# i5 z6 T) `8 m/ P
? 豐富前導知識及相關補充主題" w# m! R8 T& D8 x( J+ W
? 身分驗證系統實作經驗分享
4 }3 Q! \1 C# `# o# F$ E% O 目標讀者
" Y1 K7 J2 ]) j1 O, F ?網頁前端工程師
0 h# v" d2 F% g. l0 K7 F ?網頁後端工程師
8 ^2 K& I; q6 ]' @. a 目錄
3 L/ L _1 h2 \- v5 m 推薦序一:開發一定會碰到身分驗證
$ t- h. i6 k& ?9 Z/ s2 }- Z 推薦序二:簡單但不簡單的 Auth 開發& s1 y, s" B3 L
推薦序三:RFC 汪洋中的一盞明燈
2 H% p4 T. D0 Y) G6 b8 @ 序言6 u1 I3 b5 H0 |0 u
CHAPTER 01 身分驗證與授權
7 ~ p9 h* t2 ] 1-1 識別" _# R& p3 x/ e4 W' A! F
1-2 驗證
1 C. z/ m- `. P 1-3 授權# ^ h$ |: E& ~! T9 P
1-4 歸責
p2 }+ [1 U' d+ z 1-5 章節回顧0 l" P" ?$ r, i) T$ j
CHAPTER 02 HTTP協定
# _3 Z# U7 p% s" ]. G 2-1 HTTP 的特性: G% C6 m" Z& M. f2 \0 U# b6 E, {4 u9 M
2-2 Cookie 機制* A4 t$ w) p, c4 N& s- V5 x
2-3 SSL∕TLS t+ A# @) ^7 ~7 H4 ]7 J- K
2-4 章節回顧9 z E4 G/ g. w
CHAPTER 03 密碼學
( e& Y9 h6 I9 X* O5 J 3-1 加密與解密4 r8 O6 _3 e2 s0 V+ z
3-2 雜湊
* Q, f( R6 e6 q 3-3 訊息驗證碼
6 h7 X- b- w4 O 3-4 數位簽章5 G3 \* \$ h7 C
3-5 亂數
# G+ @1 j) b$ B3 v 3-6 章節回顧
* R7 v6 W- I4 o. q7 p2 C& H CHAPTER 04 實作 Web 身分驗證
4 D% i! o7 u: k' Z, R3 O 4-1 身分驗證
; l# v. I& W$ d' ]: E 4-2 JWT' _( u8 X$ p" U4 ?6 V z7 t3 [8 {
4-3 狀態保存8 Y% i0 h& d; ~3 b) O( u
CHAPTER 05 OAuth 2.0 與 OpenID Connect 簡介
3 ~- X# q4 Y M 5-1 OAuth 2.0 情境劇4 k* d% \! d$ u; d% X) w& v J
5-2 OAuth 2.0 與 OpenID Connect 能做什麼?4 d! d$ U; K; r( h# w
5-3 OAuth 2.0 與 OpenID Connect「不能」做什麼?
& J* y. n0 S! o* A/ q 5-4 本章重點, I5 P) H9 u+ w) Q" F! C. U
CHAPTER 06 OAuth 2.0 授權協定
$ Q* y7 [( W" S 6-1 OAuth 2.0 的角色) H: c0 I0 R9 g' C9 M7 M( w
6-2 Access Token 與 Refresh Token w& u1 d7 _+ _$ y: |5 H
6-3 快速建構 OAuth 2.0 應用程式: b6 O8 }3 Y3 u. D& y1 I# q% N) P
6-4 註冊應用程式
* H5 d; h5 S$ s1 n0 V: `5 @$ X1 u 6-5 授權碼流程, o- ^: G- g4 b, i
6-6 隱含授權
7 V2 H9 `( x( M# ]7 H. O; z7 o 6-7 密碼驗證授權
+ I, D3 c: e5 o9 v 6-8 應用程式憑證授權
0 n- h7 M' {, B5 [ 6-9 使用 Refresh Token 換發 Access Token5 x! y" C: @1 f' n( c% }/ U
6-10 Token 如何使用、驗證與撤銷?
% s* x0 }4 H7 S+ x+ y 6-11 我應該使用哪個 OAuth 2.0 授權類型?: s4 x1 c% q- v, D8 A( M
6-12 其他注意事項
$ v* e! T: o1 A& T$ {( o: @ CHAPTER 07 其他應用程式類型的授權流程* Y8 F* x2 j5 M9 p- z8 t/ K
7-1 Proof Key for Code Exchange 擴充協定% \& q0 W2 H0 m+ t2 U
7-2 原生應用程式的授權流程
6 a* `/ j6 B9 O' |- O& k 7-3 瀏覽器應用程式的授權流程
3 u3 }; M7 W5 I+ W: z" \ CHAPTER 08 OpenID Connect 身分驗證協定
7 n, K+ q+ [. f% E1 b 8-1 完成身分驗證與完成授權的差異
. Q$ Z5 W. F, ]) U' x8 n) \: y6 L. w 8-2 OpenID Connect 與 OAuth 2.0 的比較
( b4 x, m2 @9 c 8-3 身分驗證流程: Z/ f5 q- q! g. j% U+ F' D% K
8-4 Prompt 參數用法5 C! X, a1 g: i2 {: X2 T
8-5 登出流程
! z# O/ f2 k0 Q0 z+ s3 e0 b. k- K# j. v 8-6 第三方啟動登入
: j! s: E9 U& t' o3 _' E 8-7 OP 與應用程式的相關資訊定義4 a+ R6 D' E; e+ A
CHAPTER 09 應用程式端的實務範例1 f T+ J$ @9 A& J3 \- r6 G2 n! b
9-1 透過 OAuth 2.0 協定請求 Facebook 授權
`$ M9 {* P- M3 j5 G 9-2 透過 OpenID Connect 協定請求 LINE Login 身分驗證
! N# i& K- A* ^4 c7 x! |9 ?, b CHAPTER 10 授權伺服器的實務範例
+ X5 y- \- @- Q& H: W+ k/ w \% a, e 10-1 Hydra 簡介
3 I. E. S( N9 m+ M! i. Q 10-2 Hydra 的流程定義
+ A" h0 x5 a. ]& q 10-3 建構 Hydra 與相關服務
- `$ H4 T" i, H/ B. ` 10-4 總結4 [7 p) w; ^' i
APPENDIX A 規範參考文件8 x2 K9 {( m4 P+ R/ s' x$ O
APPENDIX B 專有名詞參考. m8 ]$ S' ?. e, H% c) J- `) Z
APPENDIX C 縮寫名詞參考
0 k; g! l) f) G5 D7 ~; W/ w& ^8 |. t+ v2 i0 e: g& D5 L
3 s3 H, p% ^& f; g/ M
剩余 2% 内容需要支付 3.00×2共享币 后可完整阅读并提供下载链接
共享资料赚共享币,鼓励用户共享优质资料
|
