没有什么比一片空白更让人畏惧了,它盯着你,你却一筹莫展。

你并不是不知道要做什么,相反,你对自己的构想有清晰的认识。你甚至可以想象到,当老板和客户见到你的杰作时脸上露出的满意笑容。但问题是,你的面前是一片空白。

所以,你伸手去拿工具。鉴于你正在阅读这本书,你很可能是一名开发人员或者身份认证方面的专业人士。不管怎样,你都知道安全是至关重要的,并希望自己的杰作得到安全保护。

说到OAuth,你应该知道,它可以用于保护资源,尤其是API。它的应用非常广泛,而且看起来无所不能。问题恰恰在于它的无所不能使其很难驾驭。这又是一片空白。

再说说这本书和两位合著者。当你手中有一件无所不能的工具却无从下手时,最好的办法就是将它利用起来。这本书不仅解释了OAuth的用途,还会引导你完成整个应用流程。最终,你不仅会对OAuth这一工具有非常深入的了解,而且面前将不再是一片空白——你做好了实现头脑中伟大构想的准备。

OAuth是一个非常强大的工具,它的强大来自其灵活性,灵活性通常意味着它不仅能够完成你的构想,而且也会带来安全问题。OAuth管理API的访问权限,守护着重要数据,所以最关键的是避免反模式,运用最佳实践,以安全的方式使用它。换句话说,虽然它的灵活性让你可以以任何方式使用和部署它,但并不意味着你应该那样随意。

关于OAuth,还有一件要提到的事情——你不是为了用OAuth而去用它。你是想用它来做一些别的事情——很可能是要将一组API调用精心组合起来,以实现一个绝妙的点子。你或许正在头脑中勾勒一幅完整图景,正思考如何实现自己的杰作。OAuth可以帮助你以更安全的方式实现它。

幸运的是,两位合著者提供了一份实用指南,告诉我们什么该做,什么不该做。他们让你一箭双雕,同时实现“我想搞定这件事情”和“我想确认这样做是安全的”两种想法。

随着空白被填补,你最终会实现自己的杰作并交到客户手中,同时意识到这项工作其实并不难。

 

Ian Glazer

Salesforce公司身份管理高级总监

目录

  • 版权声明
  • 前言
  • 致谢
  • 关于本书
  • 关于封面图片
  • 第一部分 起步
  • 第 1 章 OAuth 2.0是什么,为什么要关心它
  • 第 2 章 OAuth之舞
  • 第二部分 构建OAuth环境
  • 第 3 章 构建简单的OAuth客户端
  • 第 4 章 构建简单的OAuth受保护资源
  • 第 5 章 构建简单的OAuth授权服务器
  • 第 6 章 现实世界中的OAuth 2.0
  • 第三部分 OAuth 2.0 的实现与漏洞
  • 第 7 章 常见的客户端漏洞
  • 第 8 章 常见的受保护资源漏洞
  • 第 9 章 常见的授权服务器漏洞
  • 第 10 章 常见的OAuth令牌漏洞
  • 第四部分 更进一步
  • 第 11 章 OAuth令牌
  • 第 12 章 动态客户端注册
  • 第 13 章 将OAuth 2.0用于用户身份认证
  • 第 14 章 使用OAuth 2.0的协议和配置规范
  • 第 15 章 bearer令牌以外的选择
  • 第 16 章 归纳总结
  • 附录 A 代码框架介绍
  • 附录 B 补充代码清单