OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全

天瓏 | momo購物網 | 蝦皮購物

OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全

Web 平台已是現今網路生態不可或缺的一部分。當建立新的應用程式時,可能會想要取得使用者在其他平台上的資訊,但這個過程充滿了許多資安風險。身為程式與架構的開發團隊,該如何使用正確的技術,來保護應用程式和使用者呢?本書將會介紹目前最穩定的兩個協定:OAuth 2.0 與 OpenID Connect 的完整流程以及實作。此外,在本書一開始也會介紹身分驗證與授權的基本元素,讓讀者能夠輕鬆理解協定設計的基本原理,而不再是一知半解。

了解身分驗證概論以及 Web 基礎

基礎是非常重要的,在 OAuth 2.0 上更是如此。從身分驗證概論、HTTP 協定的特性、演算法的基礎、接著延伸到身分驗證的實作,這些都是後續理解協定須具備的前置技能。

OAuth 2.0 與擴充協定的介紹

本書將整理官方協定,並按適合初學者學習的順序來安排章節。其中包括 OAuth 2.0 的四種基本授權流程、原生應用程式與瀏覽器應用程式的授權流程以及 OpenID Connect 的三種身分驗證流程,已涵蓋了大多數的身分驗證與授權情境,讀者可依實務遇到的情境來選擇適合的流程參考。

OAuth 2.0 實戰練習

了解協定後,接著以實作來證明協定的可行性。應用程式的部分,OAuth 2.0 會以 Facebook 為例,OpenID Connect 會以 LINE Login 為例來說明實作的過程;授權伺服器端則是以開源的服務 Hydra 為例,來介紹實際身分驗證與授權中心會需要處理的任務為何。