如果要深入探讨OAuth的运行机制,学习如何在不安全的网络环境下正确使用、部署OAuth,确保安全认证,推荐学习关于OAuth最全面深入的参考资料《OAuth 2实战》。内容分为四大部分,分别概述OAuth 2.0协议,如何构建一个完整的OAuth 2.0生态系统,OAuth 2.0生态系统中各个部分可能出现的漏洞及其如何规避,以及更外围生态系统中的标准和规范。
应该是目前市面上第一本关于OAuth2的书籍,翻译得不错,读起来顺畅。书的内容也很好,全程实现OAuth涉及的所有组件,对着书中的内容实现了一遍,学到了很多。想了解OAuth学,强烈推荐。
建议学习《OAuth 2实战》中文PDF,302页,带书签目录,文字可复制。配套源代码。
资源下载地址:
链接:https://pan.baidu.com/s/1mtbzAaSV42VtMhuvwGWOEA 提取码:m7w2
《OAuth 2实战》分为4个部分,总共16章。第一部分由第1~2章构成,概述了OAuth 2.0协议,可以说是核心阅读材料。第二部分由第3~6章构成,展示了如何构建一个完整的OAuth 2.0生态系统。第三部分由第7~10章构成,讨论了OAuth 2.0生态系统中各个部分可能出现的漏洞,以及如何规避。最后一部分由第11~16章构成,这一部分跳出OAuth 2.0协议的核心部分,探讨更外围生态系统中的标准和规范,最后还进行了总结。
第1章概述了OAuth 2.0,讲述了开发它的动机,还介绍了OAuth出现之前与API安全相关的方法。
第2章深入讲解授权码许可类型,这是OAuth 2.0核心中最常用、最典型的一种许可类型。
第3~5章分别展示如何构建简易但功能完整的OAuth 2.0客户端、受保护的资源服务器,以及授权服务器。
第6章讨论OAuth 2.0协议内部的多样性,介绍了授权码之外的其他许可类型,还讨论了原生应用中的许可类型。
第7~9章分别讨论OAuth 2.0客户端、受保护资源及授权服务器中常见的漏洞,以及如何避免这些漏洞。
第10章讨论OAuth 2.0中bearer令牌和授权码的弱点,针对它们的攻击,以及如何规避。
第11章介绍JSON Web Token(JWT)及其所用的编码机制JOSE,还包括令牌内省和撤回,这些主题完整覆盖了令牌的生命周期。
第12章介绍动态客户端注册,并讨论它对OAuth 2.0生态系统的影响。
第13章先解释为什么OAuth 2.0不是身份认证协议,继而介绍如何基于它使用OpenID Connect构建一个身份认证协议。
第14章介绍构建于OAuth 2.0之上的User Managed Access(UMA)协议,该协议允许用户对用户(user-to-user)的分享。这一章还介绍了HEART和iGov这两个OAuth 2.0配置规范以及OpenID Connect,以及这些协议在特定行业领域中是如何应用的。
第15章指出OAuth 2.0核心规范中的常规bearer令牌并不能满足所有需求,并描述了Proof of Possession(PoP)令牌及TLS令牌绑定如何与OAuth 2.0协同工作。
第16章进行总结,并指导如何进一步应用这些知识,还介绍了相关代码库以及范围更广的社区。