وبلاگ بلیان

Advanced API Security : OAuth 2. 0 and Beyond

معرفی کتاب «Advanced API Security : OAuth 2. 0 and Beyond» نوشتهٔ Prabath Siriwardena، منتشرشده توسط نشر Apress L.P در سال 2020. این کتاب در 455 صفحه، فرمت pdf، زبان انگلیسی ارائه شده است. «Advanced API Security : OAuth 2. 0 and Beyond» در دستهٔ برنامه‌نویسی قرار دارد.

در دنیای امروز که رابط‌های برنامه‌نویسی کاربردی به ستون فقرات اقتصاد دیجیتال تبدیل شده‌اند، کتاب Advanced API Security: OAuth.0 and Beyond نوشتهٔ «پربات سیریواردنا» به عنوان یک مرجع جامع و به‌روز، به یکی از منابع کلیدی برای معماران امنیت و توسعه‌دهندگان بدل گشته است. این کتاب که نسخهٔ دوم آن در سال ۲۰۲۰ توسط انتشارات معتبر آپرس منتشر شده، با نگاهی عمیق و عمل‌گرایانه، شما را برای رویارویی با چالش‌های پیچیدهٔ امنیت در عصر APIها آماده می‌سازد و از صفر تا صد استانداردهای روز نظیر OAuth.0 را پوشش می‌دهد.

دربارهٔ کتاب Advanced API Security —

کتاب Advanced API Security: OAuth.0 and Beyond صرفاً یک مرجع نظری نیست، بلکه راهنمایی گام‌به‌گام برای پیاده‌سازی امنیت در سامانه‌های مبتنی بر API است. هستهٔ مرکزی کتاب بر چارچوب OAuth.0 به عنوان پرکاربردترین استاندارد برای مدیریت دسترسی متمرکز است و به خواننده نشان می‌دهد که چگونه می‌توان از این پروتکل و الحاقات پیرامون آن برای محافظت از APIهای عمومی و خصوصی بهره برد. نویسنده با ارائهٔ مثال‌های عینی و کدنویسی شده، مفاهیمی فراتر از مبانی را پوشش می‌دهد و به موضوعات پیشرفته‌ای مانند اتصال توکن با TLS، مدیریت دسترسی کاربر (UMA.0)، اعتبارسنجی افزایشی، و پروتکل PKCE برای امن‌تر کردن برنامه‌های موبایل می‌پردازد. فضای کتاب به گونه‌ای طراحی شده که هم برای معماران ارشد که به دنبال بهترین شیوه‌های طراحی (Best Practices) هستند و هم برای توسعه‌دهندگانی که مستقیماً با کدنویسی سر و کار دارند، مفید باشد. یکی از نقاط قوت برجستهٔ این اثر، رویکرد تحلیلی آن به تهدیدات امنیتی است. سیریواردنا با بررسی حملات واقعی که از حفره‌های امنیتی در پیاده‌سازی‌های مختلف OAuth.0 سوءاستفاده کرده‌اند، ریشهٔ مشکلات را کالبدشکافی می‌کند و به خواننده می‌آموزد که چگونه از تکرار چنین فاجعه‌هایی در پروژه‌های خود جلوگیری کند. این کتاب با پوشش مباحثی از اصول اولیهٔ لایهٔ امنیت انتقال (TLS) تا استانداردهای پیچیدهٔ پیام‌رسان مانند JSON Web Signature (JWS) و JSON Web Encryption (JWE)، دیدی ۳۶۰ درجه از امنیت API به مخاطب ارائه می‌دهد.

دربارهٔ نویسنده

پربات سیریواردنا (Prabath Siriwardena) یکی از چهره‌های شاخص و تأثیرگذار در حوزهٔ مدیریت هویت و دسترسی (IAM) است. او که به عنوان یک متخصص و متقاعدکنندهٔ فناوری (Evangelist) شناخته می‌شود، بیش از یک دهه تجربهٔ طراحی و پیاده‌سازی زیرساخت‌های حیاتی IAM برای شرکت‌های بزرگ جهانی و بسیاری از شرکت‌های فهرست فورچون ۵۰۰ را در کارنامه دارد. سیریواردنا معاون مدیریت هویت و امنیت در شرکت WSO2 است و نقش کلیدی در توسعهٔ سرور متن‌باز WSO2 Identity Server ایفا کرده است؛ محصولی که روزانه بیش از یک میلیون درخواست احراز هویت را برای بیش از ۱۰۰ میلیون هویت در سراسر جهان مدیریت می‌کند. او علاوه بر این کتاب، نویسندهٔ آثار مهم دیگری نظیر Microservices Security in Action و Microservices for the Enterprise نیز هست و به عنوان سخنران در کنفرانس‌های معتبر جهانی مانند RSA Conference و Identiverse حضور داشته است.

چرا باید Advanced API Security را بخوانید؟

مطالعهٔ این کتاب به شما امکان می‌دهد تا دانش و مهارت خود را در حوزه‌های کلیدی زیر به سطحی حرفه‌ای ارتقا دهید:
  • طراحی امن از پایه: با اصول و الگوهای طراحی امن برای APIها آشنا می‌شوید و می‌آموزید که چگونه امنیت را به عنوان بخشی جدایی‌ناپذیر از چرخهٔ توسعهٔ نرم‌افزار در نظر بگیرید، نه یک افزونهٔ نهایی.
  • انتخاب آگاهانهٔ استانداردها: در میان انبوهی از پروتکل‌ها و استانداردهای موجود، توانایی انتخاب بهترین گزینه را متناسب با نیازهای کسب‌وکار خود پیدا می‌کنید؛ از احراز هویت ساده تا پروتکل‌های پیشرفتهٔ فدراسیون هویت.
  • درک عمیق چشم‌انداز تهدیدات OAuth.0: با تحلیل حملات واقعی و نقاط ضعف رایج در پیاده‌سازی‌ها، درک واقع‌بینانه‌ای از تهدیدات پیش رو پیدا کرده و راهکارهای مقابله با آنها را فرا می‌گیرید.
  • حفاظت از معماری میکروسرویس‌ها: با تکنیک‌های امن‌سازی لبهٔ شبکه (Edge Security) و پیاده‌سازی API Gateway آشنا شده و یاد می‌گیرید که چگونه از میکروسرویس‌ها در مقابل دسترسی‌های غیرمجاز محافظت کنید.
  • امن‌سازی برنامه‌های موبایل و یکپارچه‌سازی با SaaS: با بهترین شیوه‌های توسعهٔ برنامه‌های موبایل بومی که به طور امن به APIها دسترسی دارند، و همچنین روش‌های یکپارچه‌سازی برنامه‌ها با APIهای سرویس‌های ابری (SaaS) که با OAuth.0 محافظت می‌شوند، آشنا می‌شوید.

این کتاب برای چه کسانی مناسب است؟

این کتاب به طور ویژه برای معماران امنیت سازمانی که به دنبال بهترین شیوه‌ها در طراحی APIها هستند، تألیف شده است. با این حال، دامنهٔ محتوای آن به‌قدری گسترده و کاربردی است که برای طیف وسیعی از فعالان حوزهٔ فناوری اطلاعات نیز مفید خواهد بود. توسعه‌دهندگانی که مسئولیت ساخت APIهای سازمانی و یکپارچه‌سازی آنها با برنامه‌های داخلی و خارجی را بر عهده دارند، مدیران فنی که می‌خواهند درک عمیق‌تری از جنبه‌های امنیتی پروژه‌های خود داشته باشند، و حتی دانشجویان و علاقه‌مندان به حوزهٔ امنیت نرم‌افزار، همگی از مطالعهٔ این کتاب جامع و دقیق بهره‌مند خواهند شد.

سوالات متداول

آیا برای درک این کتاب نیاز به دانش قبلی دربارهٔ OAuth دارم؟

خیر، کتاب Advanced API Security با مفاهیم بنیادین آغاز می‌شود و فصل چهارم آن به طور کامل به مبانی OAuth.0 اختصاص دارد. با این حال، داشتن آشنایی اولیه با مفاهیم برنامه‌نویسی و امنیت شبکه به درک بهتر مطالب پیشرفته‌تر کمک می‌کند.

آیا مطالب کتاب شامل مثال‌های عملی و کدنویسی است؟

بله، رویکرد کتاب کاملاً عملی بوده و شامل مثال‌های فراوان و پیاده‌سازی‌های کدنویسی شده است. برای نمونه، در فصول مختلف، راه‌اندازی یک API Gateway با Zuul و پیاده‌سازی سناریوهای مختلف امنیتی با استفاده از داکر به صورت گام‌به‌گام توضیح داده شده است.

تفاوت این نسخه با ویرایش اول کتاب در چیست؟

نسخهٔ دوم که در سال ۲۰۲۰ منتشر شده، به‌روزرسانی جامعی نسبت به ویرایش اول است و رشد چشمگیر استانداردهای امنیتی در سال‌های اخیر را پوشش می‌دهد. این نسخه شامل مباحث جدیدی مانند OpenID Connect (OIDC)، اتصال توکن، و پروفایل‌های جدید OAuth.0 است که در دنیای امروز کاربرد فراوانی دارند.

Prepare for the next wave of challenges in enterprise security. Learn to better protect, monitor, and manage your public and private APIs. Enterprise APIs have become the common way of exposing business functions to the outside world. Exposing functionality is convenient, but of course comes with a risk of exploitation. This book teaches you about TLS Token Binding, User Managed Access (UMA) 2.0, Cross Origin Resource Sharing (CORS), Incremental Authorization, Proof Key for Code Exchange (PKCE), and Token Exchange. Benefit from lessons learned from analyzing multiple attacks that have taken place by exploiting security vulnerabilities in various OAuth 2.0 implementations. Explore root causes, and improve your security practices to mitigate against similar future exploits. Security must be an integral part of any development project. This book shares best practices in designing APIs for rock-solid security. API security has evolved since the first edition of this book, and the growth of standards has been exponential. OAuth 2.0 is the most widely adopted framework that is used as the foundation for standards, and this book shows you how to apply OAuth 2.0 to your own situation in order to secure and protect your enterprise APIs from exploitation and attack. What You Will Learn: • Securely design, develop, and deploy enterprise APIs • Pick security standards and protocols to match business needs • Mitigate security exploits by understanding the OAuth 2.0 threat landscape • Federate identities to expand business APIs beyond the corporate firewall • Protect microservices at the edge by securing their APIs • Develop native mobile applications to access APIs securely • Integrate applications with SaaS APIs protected with OAuth 2.0 Who This Book Is For: Enterprise security architects who are interested in best practices around designing APIs. The book is also for developers who are building enterprise APIs and integrating with internal and external applications. Front Matter ....Pages i-xix APIs Rule! (Prabath Siriwardena)....Pages 1-32 Designing Security for APIs (Prabath Siriwardena)....Pages 33-67 Securing APIs with Transport Layer Security (TLS) (Prabath Siriwardena)....Pages 69-79 OAuth 2.0 Fundamentals (Prabath Siriwardena)....Pages 81-101 Edge Security with an API Gateway (Prabath Siriwardena)....Pages 103-127 OpenID Connect (OIDC) (Prabath Siriwardena)....Pages 129-155 Message-Level Security with JSON Web Signature (Prabath Siriwardena)....Pages 157-184 Message-Level Security with JSON Web Encryption (Prabath Siriwardena)....Pages 185-210 OAuth 2.0 Profiles (Prabath Siriwardena)....Pages 211-226 Accessing APIs via Native Mobile Apps (Prabath Siriwardena)....Pages 227-241 OAuth 2.0 Token Binding (Prabath Siriwardena)....Pages 243-255 Federating Access to APIs (Prabath Siriwardena)....Pages 257-276 User-Managed Access (Prabath Siriwardena)....Pages 277-286 OAuth 2.0 Security (Prabath Siriwardena)....Pages 287-304 Patterns and Practices (Prabath Siriwardena)....Pages 305-319 The Evolution of Identity Delegation (Prabath Siriwardena)....Pages 321-330 OAuth 1.0 (Prabath Siriwardena)....Pages 331-354 How Transport Layer Security Works? (Prabath Siriwardena)....Pages 355-376 UMA Evolution (Prabath Siriwardena)....Pages 377-396 Base64 URL Encoding (Prabath Siriwardena)....Pages 397-399 Basic/Digest Authentication (Prabath Siriwardena)....Pages 401-423 OAuth 2.0 MAC Token Profile (Prabath Siriwardena)....Pages 425-437 Back Matter ....Pages 439-449 Prepare for the next wave of challenges in enterprise security. Learn to better protect, monitor, and manage your public and private APIs. Enterprise APIs have become the common way of exposing business functions to the outside world. Exposing functionality is convenient, but of course comes with a risk of exploitation. This book teaches you about using OAuth 2.0 and related profiles to access APIs security with web applications. Benefit from lessons learned from analyzing multiple attacks that have taken place by exploiting security vulnerabilities in various OAuth 2.0 implementations. Explore root causes, and improve your security practices to mitigate against similar future exploits. Security must be an integral part of any development project. This book shares best practice in designing APIs for rock-solid security. API security has evolved since the first edition of this book, and the growth of standards has been exponential. OAuth 2.0 is the most widely adopted framework that is used as the foundation for standards, and this book shows you how to apply OAuth 2.0 to your own situation in order to secure and protect your enterprise APIs from exploitation and attack Providing hands-on tutorials covering key aspects in API security, this book defines best practices in designing, developing, and deploying APIs securely and helps you choose between the available standards for securing APIs. -- Edited summary from book
دانلود کتاب Advanced API Security : OAuth 2. 0 and Beyond