API安全实战

本书旨在引导读者掌握在不同环境下确保API安全所需的技术。首先介绍基本的安全编码技术，之后深入研究身份认证和授权技术。全书共5部分，13章，其中：第1部分介绍了API安全的基本原理，是本书其余内容的基础；第2部分更详细地介绍RESTful API的身份验证机制；第3部分介绍了授权（authorization）相关的内容；第4部分深入探讨了如何确保运行在Kubernetes环境下的微服务API的安全性；第5部分介绍物联网（IoT）中的API。这类API的安全尤其有挑战性，因为物联网设备的能力往往很有限，并且会遭遇到各种各样的威胁。对于构建Web程序有一定经验的开发人员来讲，本书可以提高他们对API安全技术和很好实践的了解，也有助于技术架构师紧跟近期新API安全方法技术更新的步伐。

尼尔·马登，ForgeRock的安全总监，他对应用密码学、应用程序安全和近期新的API安全技术有深入的了解。他有20年的软件开发经验，拥有计算机科学博士学位。

译者序
前言
致谢
关于本书
关于作者
第一部分 基础
第1章 什么是API安全
1.1 打个比方：参加驾照考试
1.2 什么是API
1.3 API安全上下文
1.4 API安全要素
1.4.1 资产
1.4.2 安全目标
1.4.3 环境与威胁模型
1.5 安全机制
1.5.1 加密
1.5.2 身份识别和身份验证
1.5.3 访问控制和授权
1.5.4 审计日志
1.5.5 速率
小测验答案
小结
第2章 安全API开发
2.1 Natter API
2.1.1 Natter API概览
2.1.2 功能实现概览
2.1.3 设置项目
2.1.4 初始化数据库
2.2 开发REST API
2.3 连接REST终端
2.4 注入攻击
2.4.1 防御注入攻击
2.4.2 使用权限缓解SQL注入攻击
2.5 输入验证
2.6 生成安全的输出
2.6.1 利用XSS攻击
2.6.2 防御XSS攻击
2.6.3 实施防护
小测验答案
小结
第3章 加固Natter API
3.1 使用安全控制来处置威胁
3.2 速率解决可用性
3.3 使用身份验证抵御欺骗
3.3.1 HTTP基本身份验证
3.3.2 使用Scrypt确保密码安全存储
3.3.3 创建密码数据库
3.3.4 在Natter API中注册用户
3.3.5 验证用户
3.4 使用加密确保数据不公开
3.4.1 启用HTTPS
3.4.2 加强数据传输安全
3.5 使用审计日志问责
3.6 访问控制
3.6.1 强制身份验证
3.6.2 访问控制列表
3.6.3 Natter的强制访问控制
3.6.4 Natter空间增加新成员
3.6.5 避免提权攻击
小测验答案
小结
第二部分 基于令牌的身份验证
第4章 会话Cookie验证
4.1 Web浏览器的身份验证
4.1.1 在JavaScript中调用Natter API
4.1.2 表单提交拦截
4.1.3 提供同源HTML服务
4.1.4 HTTP认证的缺点
4.2 基于令牌的身份验证
4.2.1 令牌存储抽象
4.2.2 基于令牌登录的实现
4.3 Session Cookie
4.3.1 防范会话固定攻击
4.3.2 Cookie安全属性
4.3.3 验证会话Cookie
4.4 防范跨站请求伪造攻击
4.4.1 SameSite Cookie
4.4.2 基于哈希计算的双重提交Cookie
4.4.3 在Natter API中应用双重提交Cookie
4.5 构建Natter登录UI
4.6 实现注销
小测验答案
小结
第5章 近期新的基于令牌的身份验证
5.1 使用CORS允许跨域请求
5.1.1 预检请求
5.1.2 CORS头
5.1.3 在Natter API中添加CORS头部
5.2 不使用Cookie的令牌
5.2.1 在数据库中保存令牌的状态
5.2.2 Bearer身份验证方案
5.2.3 删除过期令牌
5.2.4 在Web存储中存储令牌
5.2.5 修改CORS过滤器
5.2.6 对Web存储的XSS攻击
5.3 加固数据库令牌存储
5.3.1 对数据库令牌进行哈希计算
5.3.2 使用HMAC验证令牌
5.3.3 保护敏感属性
小测验答案
小结
第6章 自包含令牌和JWT
6.1 在客户端存储令牌状态
6.2 JSON Web令牌
6.2.1 标准JWT声明
6.2.2 JOSE头部
6.2.3 生成标准的JWT
6.2.4 验证签名JWT
6.3 加密敏感属性
6.3.1 认证加密
6.3.2 NaCl认证加密
6.3.3 加密JWT
6.3.4 使用JWT库
6.4 使用安全类型来加固API设计
6.5 处理令牌撤销
小测验答案
小结
第三部分 授权
第7章 OAuth2和OpenID Connect
7.1 作用域令牌
7.1.1 在Natter中添加作用域令牌
7.1.2 作用域和权限之间的区别
7.2 OAuth2简介
7.2.1 客户端类型
7.2.2 授权许可
7.2.3 发现OAuth2终端
7.3 授权码许可
7.3.1 重定向不同类型客户端的URI
7.3.2 使用PKCE增强授权码交换安全性
7.3.3 刷新令牌
7.4 验证访问令牌
7.4.1 令牌自省
7.4.2 确保HTTPS客户端配置安全
7.4.3 令牌撤销
7.4.4 JWT访问令牌
7.4.5 加密JWT访问令牌
7.4.6 让AS解密令牌
7.5 单点登录
7.6 OpenID Connect
7.6.1 ID令牌
7.6.2 加固OIDC
7.6.3 向API传递ID令牌
小测验答案
小结
第8章 基于身份的访问控制
8.1 用户和组
8.2 基于角色的访问控制
8.2.1 角色映射权限
8.2.2 静态角色
8.2.3 确定用户角色
8.2.4 动态角色
8.3 基于属性的访问控制
8.3.1 组合决策
8.3.2 实现ABAC策略
8.3.3 策略代理和API网关
8.3.4 分布式策略实施和XACML
8.3.5 ABAC很好实践
小测验答案
小结
第9章 基于能力的安全和Macaroon
9.1 基于能力的安全
9.2 能力和REST API
……