لطفا جهت اطلاع از آخرین دوره ها و اخبار سایت در
کانال تلگرام
عضو شوید.
آموزش مهره و پیچ و مهره OAuth 2.0
The Nuts and Bolts of OAuth 2.0
نکته:
آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
توضیحات دوره:
پوشش OAuth 2.0، OpenID، PKCE، جریانهای منسوخ، JWT، دروازههای API و محدودهها. بدون نیاز به دانش برنامه نویسی اصول اولیه OAuth 2.0 و OpenID Connect نحوه پیاده سازی کلاینت OAuth از ابتدا بهترین روش ها برای توسعه برنامه های کاربردی OAuth (سمت سرور، بومی و SPA) نحوه محافظت از API با توکن های دسترسی JWT پیش نیازها:یکی اساسی درک درخواستهای HTTP، پاسخها و تجربه JSON با Postman، curl یا هر مشتری HTTP دیگر
OAuth 2.0 به استاندارد صنعتی برای ارائه دسترسی ایمن به APIهای وب تبدیل شده است و به برنامهها اجازه میدهد بدون به خطر انداختن امنیت به دادههای کاربران دسترسی داشته باشند. شرکتها در سراسر جهان OAuth را به APIهای خود اضافه میکنند تا دسترسی ایمن را از برنامههای تلفن همراه خود و دستگاههای IoT شخص ثالث و حتی دسترسی به APIهای بانکی را فعال کنند.
Aaron Parecki، کارشناس امنیتی، هر یک از جریانهای OAuth (انواع کمک هزینه) را تجزیه میکند و آنها را برای استفاده از مواردی مانند اجرای OAuth برای برنامههای وب، برنامههای بومی و SPA استفاده میکند. علاوه بر یادگیری اینکه چگونه برنامهها میتوانند از OAuth برای دسترسی به APIها استفاده کنند، نحوه استفاده از OpenID Connect برای دریافت هویت کاربر را یاد خواهید گرفت.
اگر در حال ساختن یک API هستید، تفاوتها و معاوضههای بین قالبهای نشانه دسترسی مختلف، نحوه انتخاب طول عمر نشانه دسترسی مناسب و نحوه طراحی محدودهها برای محافظت از بخشهای مختلف API خود را خواهید آموخت.
>
این دوره شامل آخرین توصیههای گروه کاری OAuth از جمله پوشش همه چیز از استفاده از PKCE برای همه انواع برنامهها تا توضیح انگیزههای حذف کمکهای ضمنی و رمز عبور از مشخصات است. این توصیههای امنیتی و موارد دیگر در بهروزرسانی جدید OAuth 2.1 جمعآوری میشوند، بنابراین این دوره به شما یک شروع عالی برای یادگیری بهترین راه برای استفاده از OAuth در آینده میدهد!
در پایان این دوره، متوجه خواهید شد:
مشکلاتی که OAuth برای حل آن ایجاد شده است
اصولات OAuth 2.0 و OpenID Connect
بهترین شیوهها برای توسعه برنامههای OAuth مبتنی بر وب و بومی
تفاوت بین اعتبارسنجی رمز دسترسی محلی و راه دور
نحوه تأیید اعتبار نشانه های دسترسی JWT
و شما قادر خواهید بود:
یک سرویس گیرنده OAuth را از ابتدا پیاده سازی کنید
از جریان های OAuth در برنامه های بومی و جاوا اسکریپت محافظت کنید
از OpenID Connect برای دریافت آدرس ایمیل نام کاربر استفاده کنید
از یک API با نشانههای دسترسی OAuth محافظت کنید
محدودهها را برای محافظت از بخشهای مختلف API خود طراحی کنید
این دوره برای شما مناسب است زیرا...
شما یک معمار نرم افزار، توسعه دهنده برنامه، یا تصمیم گیرنده فنی هستید
شما با APIها، برنامههای وب، برنامههای تلفن همراه یا میکروسرویس کار میکنید
شما می خواهید درک خود را از امنیت برنامه عمیق تر کنید و به یک رهبر فنی تبدیل شوید
پیش نیازها
درکی اولیه از درخواستها، پاسخها و JSON HTTP
دانش زبان برنامه نویسی لازم نیست زیرا تمرینات را می توان بدون نوشتن هیچ کدی تکمیل کرد!
برای دنبال کردن تمرینات، به این موارد نیز نیاز دارید:
تجربه با Postman، curl، یا هر سرویس گیرنده HTTP دیگری
یک حساب برنامهنویس رایگان Auth0
این دوره همچنین به شما دسترسی انحصاری به یک ابزار مبتنی بر وب تعاملی می دهد که شما را در تمرینات راهنمایی می کند و در طول مسیر بازخورد می دهد! مانند این است که وقتی در حال انجام تمرینات هستید، از مربی بازخورد بیدرنگ ارائه دهید!
سرفصل ها و درس ها
خوش آمدی
Welcome
مقدمه ای برای این دوره
Intro to this Course
تاریخچه مختصر OAuth
A Brief History of OAuth
چگونه OAuth امنیت برنامه را بهبود می بخشد
How OAuth Improves Application Security
OAuth در مقابل OpenID Connect
OAuth vs OpenID Connect
اصول اولیه
The Basics
مفاهیم امنیتی API
API Security Concepts
نقش ها در OAuth
Roles in OAuth
انواع برنامه
Application Types
رضایت کاربر
User Consent
کانال جلو در مقابل کانال پشت
Front Channel vs Back Channel
کانال جلو در مقابل کانال پشت
Front Channel vs Back Channel
شناسه برنامه
Application Identity
مفاهیم امنیتی API
API Security Concepts
مشتریان OAuth
OAuth Clients
مقدمه ای بر مشتریان OAuth
Introduction to OAuth Clients
آماده شدن برای تمرینات
Preparing for the Exercises
OAuth برای برنامه های سمت سرور
OAuth for Server-Side Applications
ثبت یک اپلیکیشن
Registering an Application
جریان کد مجوز برای برنامه های کاربردی وب
Authorization Code Flow for Web Applications
OAuth برای برنامه های کاربردی وب سرور
OAuth for Web Server Applications
OAuth برای برنامه های بومی
OAuth for Native Applications
مسائل منحصر به فرد برنامه های بومی
The Unique Issues of Native Apps
تغییر مسیر URL ها برای برنامه های بومی
Redirect URLs for Native Apps
امنیت مرورگر برای برنامه های بومی
Browser Security for Native Apps
جریان کد مجوز برای برنامه های بومی
Authorization Code Flow for Native Apps
Refresh نشانه ها برای برنامه های بومی
Refresh Tokens for Native Apps
استفاده از Refresh Tokens
Using Refresh Tokens
OAuth برای برنامه های تک صفحه ای
OAuth for Single-Page Applications
مشکلات با محیط مرورگر
Problems with the Browser Environment
جریان کد مجوز برای برنامه های تک صفحه ای
Authorization Code Flow for Single-Page Applications
محافظت از توکن ها در مرورگر
Protecting Tokens in the Browser
ایمن سازی مرورگر با Backend
Securing the Browser with a Backend
OAuth برای برنامه های تک صفحه ای
OAuth for Single-Page Applications
OAuth برای اینترنت اشیا
OAuth for the Internet of Things
محدودیت های IoT و دستگاه های خانه هوشمند
Limitations of IoT and Smarthome Devices
جریان دستگاه برای دستگاه های بدون مرورگر
Device Flow for Browserless Devices
جریان اعتبار مشتری
Client Credentials Flow
زمان استفاده از اعطای اعتبار مشتری
When to use the Client Credentials Grant
اعطای اعتبار مشتری برای برنامه های ماشین به ماشین
Client Credentials Grant for Machine-to-Machine Applications
دریافت رمز دسترسی با اعطای اعتبار مشتری
Getting an Access Token with the Client Credentials Grant
مقدمه ای بر OpenID Connect
Introduction to OpenID Connect
شناسه توکن چیست؟
What is an ID Token
چگونه توکن های ID با توکن های اکسس متفاوت هستند
How ID Tokens are Different from Access Tokens
دریافت شناسه شناسه
Obtaining an ID Token
جریان های اتصال OpenID ترکیبی
Hybrid OpenID Connect Flows
اعتبارسنجی و استفاده از یک شناسه توکن
Validating and Using an ID Token
دریافت نام و آدرس ایمیل کاربر با استفاده از OpenID Connect
Getting the User's Name and Email Address using OpenID Connect
محافظت از یک API با OAuth
Protecting an API with OAuth
مقدمه ای برای محافظت از یک API با OAuth
Intro to Protecting an API with OAuth
به انواع توکن ها و مبادلات آنها دسترسی پیدا کنید
Access Token Types and their Tradeoffs
توکن های مرجع در مقابل توکن های خود کدگذاری شده
Reference Tokens vs Self-Encoded Tokens
مزایا و معایب توکن های مرجع
Pros and Cons of Reference Tokens
مزایا و معایب توکن های خود کدگذاری شده
Pros and Cons of Self-Encoded Tokens
محافظت از نقطه پایانی API با توکن های دسترسی
Protecting an API Endpoint with Access Tokens
توکن های دسترسی JWT
JWT Access Tokens
ساختار یک توکن دسترسی JWT
The Structure of a JWT Access Token
درون نگری رمز از راه دور
Remote Token Introspection
اعتبار سنجی توکن محلی
Local Token Validation
بهترین های هر دو جهان: استفاده از دروازه API
The Best of Both Worlds: Using an API Gateway
توکن های دسترسی JWT
JWT Access Tokens
انتخاب طول عمر توکن
Choosing Token Lifetimes
افزایش امنیت با طول عمر توکن کوتاه
Increasing Security with Short Token Lifetimes
بهبود تجربه کاربر با طول عمر توکن طولانی
Improving User Experience with Long Token Lifetimes
انتخاب متناوب طول عمر توکن
Contextually Choosing Token Lifetimes
آزمون مادام العمر رمز
Token Lifetime Quiz
مدیریت توکن های دسترسی باطل یا باطل شده
Handling Revoked or Invalidated Access Tokens
دلایلی که چرا یک توکن دسترسی ممکن است باطل شود
Reasons Why an Access Token May become Invalidated
مشکل اعتبار سنجی محلی
The Problem with Local Validation
ملاحظات طول عمر توکن
Token Lifetime Considerations
چگونه برنامه ها می توانند توکن های دسترسی را باطل کنند
How Applications can Revoke Access Tokens
مدیریت توکن های باطل شده
Handling Revoked Tokens
محدوده های OAuth
OAuth Scopes
هدف از حوزه های OAuth
The Purpose of OAuth Scopes
تعریف محدوده برای API شما
Defining Scopes for your API
درخواست رضایت کاربر
Prompting the User for Consent
Scopes را در API خود اعمال کنید
Enforce Scopes in your API
نتیجه
Conclusion
آینده OAuth: OAuth 2.1
The Future of OAuth: OAuth 2.1
منابع اضافی و مطالعه بیشتر
Additional Resources and Further Reading
با تشکر از شما برای شرکت در دوره!
Thank You for Taking the Course!
نمایش نظرات