Python全栈安全

"安全是一个全栈性问题，包括用户接口、API、Web服务器、网络基础设施等。通过掌握强大的库、框架以及Python生态系统中的工具，你可自上而下地保护自己的系统。本书列举大量实例，插图清晰，代码丰富，准确地告诉你如何保护基于Python的Web应用程序。 《Python全栈安全》由经验丰富的安全专家Dennis Byrne撰写，讲解保护Python和基于Django的Web应用程序所需的一切，解释安全术语，揭开算法的神秘面纱。 本书开篇清晰讲解加密基础知识，然后循序渐进地讲述如何实施多层防御、安全的用户身份验证、安全的第三方访问，分析如何保护应用程序免受常见黑客攻击。"

安全是一个全栈性问题，包括用户接口、API、Web服务器、网络基础设施等。通过掌握强大的库、框架以及Python生态系统中的工具，你可自上而下地保护自己的系统。本书列举大量实例，插图清晰，代码丰富，准确地告诉你如何保护基于Python的Web应用程序。《Python全栈安全》由经验丰富的安全专家DennisByrne撰写，讲解保护Python和基于Django的Web应用程序所需的一切，解释安全术语，揭开算法的神秘面纱。本书开篇清晰讲解加密基础知识，然后循序渐进地讲述如何实施多层防御、安全的用户身份验证、安全的第三方访问，分析如何保护应用程序免受常见黑客攻击。

"Dennis Byrne 是23andMe 架构团队的成员，负责保护1000 多万客户 的基因数据和隐私。在23andMe 之前，Dennis 是LinkedIn 的软件工程师。 Dennis 是一名健美运动员和GUE 洞穴潜水员。他目前住在硅谷，远离阿 拉斯加(他在那里长大并求学)。"

第Ⅰ部分密码学基础
第1章纵深防御3
1.1攻击面4
1.2什么是纵深防御6
1.2.1安全标准7
1.2.2很好实践8
1.2.3安全基本原则9
1.3工具11
1.4小结15
第2章散列17
2.1什么是散列函数17
2.2原型人物22
2.3数据完整性23
2.4选择加密散列函数24
2.4.1哪些散列函数是安全的24
2.4.2哪些散列函数是不安全的25
2.5Python中的加密散列27
2.6校验和函数30
2.7小结31
第3章密钥散列33
3.1数据身份验证33
3.1.1密钥生成34
3.1.2什么是密钥散列37
3.2HMAC函数39
3.3时序攻击43
3.4小结45
第4章对称加密47
4.1什么是加密47
4.2cryptography包50
4.2.1危险品层50
4.2.2配方层51
4.2.3密钥轮换53
4.3什么是对称加密54
4.3.1分组密码54
4.3.2流密码56
4.3.3加密模式57
4.4小结61
第5章非对称加密63
5.1密钥分发问题63
5.2什么是非对称加密64
5.3不可否认性69
5.3.1数字签名70
5.3.2RSA数字签名71
5.3.3RSA数字签名验证72
5.3.4椭圆曲线数字签名73
5.4小结76
第6章传输层安全77
6.1SSL、TLS和HTTPS77
6.2中间人攻击78
6.3TLS握手80
6.3.1密码套件协商80
6.3.2密钥交换81
6.3.3服务器身份验证84
6.4Django与HTTP88
6.5Gunicorn与HTTPS91
6.5.1自签名公钥证书92
6.5.2Strict-Transport-Security响应头94
6.5.3HTTPS重定向95
6.6TLS和requests包96
6.7TLS和数据库连接97
6.8TLS和电子邮件99
6.8.1隐式TLS99
6.8.2电子邮件客户端身份验证100
6.8.3SMTP身份验证凭据100
6.9小结101
第Ⅱ部分身份验证和授权
第7章HTTP会话管理105
7.1什么是HTTP会话105
7.2HTTPcookie107
7.2.1Secure指令108
7.2.2Domain指令108
7.2.3Max-Age109
7.2.4浏览器长度的会话110
7.2.5以编程方式设置cookie110
7.3会话状态持久化111
7.3.1会话序列化程序111
7.3.2简单的基于缓存的会话113
7.3.3基于直写式缓存的会话116
……