آموزش مهره و پیچ و مهره OAuth 2.0

The Nuts and Bolts of OAuth 2.0

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
توضیحات دوره: پوشش OAuth 2.0، OpenID، PKCE، جریان‌های منسوخ، JWT، دروازه‌های API و محدوده‌ها. بدون نیاز به دانش برنامه نویسی اصول اولیه OAuth 2.0 و OpenID Connect نحوه پیاده سازی کلاینت OAuth از ابتدا بهترین روش ها برای توسعه برنامه های کاربردی OAuth (سمت سرور، بومی و SPA) نحوه محافظت از API با توکن های دسترسی JWT پیش نیازها:یکی اساسی درک درخواست‌های HTTP، پاسخ‌ها و تجربه JSON با Postman، curl یا هر مشتری HTTP دیگر

OAuth 2.0 به استاندارد صنعتی برای ارائه دسترسی ایمن به APIهای وب تبدیل شده است و به برنامه‌ها اجازه می‌دهد بدون به خطر انداختن امنیت به داده‌های کاربران دسترسی داشته باشند. شرکت‌ها در سراسر جهان OAuth را به APIهای خود اضافه می‌کنند تا دسترسی ایمن را از برنامه‌های تلفن همراه خود و دستگاه‌های IoT شخص ثالث و حتی دسترسی به APIهای بانکی را فعال کنند.

Aaron Parecki، کارشناس امنیتی، هر یک از جریان‌های OAuth (انواع کمک هزینه) را تجزیه می‌کند و آنها را برای استفاده از مواردی مانند اجرای OAuth برای برنامه‌های وب، برنامه‌های بومی و SPA استفاده می‌کند. علاوه بر یادگیری اینکه چگونه برنامه‌ها می‌توانند از OAuth برای دسترسی به APIها استفاده کنند، نحوه استفاده از OpenID Connect برای دریافت هویت کاربر را یاد خواهید گرفت.

اگر در حال ساختن یک API هستید، تفاوت‌ها و معاوضه‌های بین قالب‌های نشانه دسترسی مختلف، نحوه انتخاب طول عمر نشانه دسترسی مناسب و نحوه طراحی محدوده‌ها برای محافظت از بخش‌های مختلف API خود را خواهید آموخت.

>

این دوره شامل آخرین توصیه‌های گروه کاری OAuth از جمله پوشش همه چیز از استفاده از PKCE برای همه انواع برنامه‌ها تا توضیح انگیزه‌های حذف کمک‌های ضمنی و رمز عبور از مشخصات است. این توصیه‌های امنیتی و موارد دیگر در به‌روزرسانی جدید OAuth 2.1 جمع‌آوری می‌شوند، بنابراین این دوره به شما یک شروع عالی برای یادگیری بهترین راه برای استفاده از OAuth در آینده می‌دهد!

در پایان این دوره، متوجه خواهید شد:

  • مشکلاتی که OAuth برای حل آن ایجاد شده است

  • اصولات OAuth 2.0 و OpenID Connect

  • بهترین شیوه‌ها برای توسعه برنامه‌های OAuth مبتنی بر وب و بومی

  • تفاوت بین اعتبارسنجی رمز دسترسی محلی و راه دور

  • نحوه تأیید اعتبار نشانه های دسترسی JWT

و شما قادر خواهید بود:

  • یک سرویس گیرنده OAuth را از ابتدا پیاده سازی کنید

  • از جریان های OAuth در برنامه های بومی و جاوا اسکریپت محافظت کنید

  • از OpenID Connect برای دریافت آدرس ایمیل نام کاربر استفاده کنید

  • از یک API با نشانه‌های دسترسی OAuth محافظت کنید

  • محدوده‌ها را برای محافظت از بخش‌های مختلف API خود طراحی کنید

این دوره برای شما مناسب است زیرا...

  • شما یک معمار نرم افزار، توسعه دهنده برنامه، یا تصمیم گیرنده فنی هستید

  • شما با APIها، برنامه‌های وب، برنامه‌های تلفن همراه یا میکروسرویس کار می‌کنید

  • شما می خواهید درک خود را از امنیت برنامه عمیق تر کنید و به یک رهبر فنی تبدیل شوید

پیش نیازها

  • درکی اولیه از درخواست‌ها، پاسخ‌ها و JSON HTTP

  • دانش زبان برنامه نویسی لازم نیست زیرا تمرینات را می توان بدون نوشتن هیچ کدی تکمیل کرد!

برای دنبال کردن تمرینات، به این موارد نیز نیاز دارید:

  • تجربه با Postman، curl، یا هر سرویس گیرنده HTTP دیگری

  • یک حساب برنامه‌نویس رایگان Auth0

این دوره همچنین به شما دسترسی انحصاری به یک ابزار مبتنی بر وب تعاملی می دهد که شما را در تمرینات راهنمایی می کند و در طول مسیر بازخورد می دهد! مانند این است که وقتی در حال انجام تمرینات هستید، از مربی بازخورد بی‌درنگ ارائه دهید!


سرفصل ها و درس ها

خوش آمدی Welcome

  • مقدمه ای برای این دوره Intro to this Course

  • تاریخچه مختصر OAuth A Brief History of OAuth

  • چگونه OAuth امنیت برنامه را بهبود می بخشد How OAuth Improves Application Security

  • OAuth در مقابل OpenID Connect OAuth vs OpenID Connect

  • اصول اولیه The Basics

مفاهیم امنیتی API API Security Concepts

  • نقش ها در OAuth Roles in OAuth

  • انواع برنامه Application Types

  • رضایت کاربر User Consent

  • کانال جلو در مقابل کانال پشت Front Channel vs Back Channel

  • کانال جلو در مقابل کانال پشت Front Channel vs Back Channel

  • شناسه برنامه Application Identity

  • مفاهیم امنیتی API API Security Concepts

مشتریان OAuth OAuth Clients

  • مقدمه ای بر مشتریان OAuth Introduction to OAuth Clients

  • آماده شدن برای تمرینات Preparing for the Exercises

OAuth برای برنامه های سمت سرور OAuth for Server-Side Applications

  • ثبت یک اپلیکیشن Registering an Application

  • جریان کد مجوز برای برنامه های کاربردی وب Authorization Code Flow for Web Applications

  • OAuth برای برنامه های کاربردی وب سرور OAuth for Web Server Applications

OAuth برای برنامه های بومی OAuth for Native Applications

  • مسائل منحصر به فرد برنامه های بومی The Unique Issues of Native Apps

  • تغییر مسیر URL ها برای برنامه های بومی Redirect URLs for Native Apps

  • امنیت مرورگر برای برنامه های بومی Browser Security for Native Apps

  • جریان کد مجوز برای برنامه های بومی Authorization Code Flow for Native Apps

  • Refresh نشانه ها برای برنامه های بومی Refresh Tokens for Native Apps

  • استفاده از Refresh Tokens Using Refresh Tokens

OAuth برای برنامه های تک صفحه ای OAuth for Single-Page Applications

  • مشکلات با محیط مرورگر Problems with the Browser Environment

  • جریان کد مجوز برای برنامه های تک صفحه ای Authorization Code Flow for Single-Page Applications

  • محافظت از توکن ها در مرورگر Protecting Tokens in the Browser

  • ایمن سازی مرورگر با Backend Securing the Browser with a Backend

  • OAuth برای برنامه های تک صفحه ای OAuth for Single-Page Applications

OAuth برای اینترنت اشیا OAuth for the Internet of Things

  • محدودیت های IoT و دستگاه های خانه هوشمند Limitations of IoT and Smarthome Devices

  • جریان دستگاه برای دستگاه های بدون مرورگر Device Flow for Browserless Devices

جریان اعتبار مشتری Client Credentials Flow

  • زمان استفاده از اعطای اعتبار مشتری When to use the Client Credentials Grant

  • اعطای اعتبار مشتری برای برنامه های ماشین به ماشین Client Credentials Grant for Machine-to-Machine Applications

  • دریافت رمز دسترسی با اعطای اعتبار مشتری Getting an Access Token with the Client Credentials Grant

مقدمه ای بر OpenID Connect Introduction to OpenID Connect

  • شناسه توکن چیست؟ What is an ID Token

  • چگونه توکن های ID با توکن های اکسس متفاوت هستند How ID Tokens are Different from Access Tokens

  • دریافت شناسه شناسه Obtaining an ID Token

  • جریان های اتصال OpenID ترکیبی Hybrid OpenID Connect Flows

  • اعتبارسنجی و استفاده از یک شناسه توکن Validating and Using an ID Token

  • دریافت نام و آدرس ایمیل کاربر با استفاده از OpenID Connect Getting the User's Name and Email Address using OpenID Connect

محافظت از یک API با OAuth Protecting an API with OAuth

  • مقدمه ای برای محافظت از یک API با OAuth Intro to Protecting an API with OAuth

به انواع توکن ها و مبادلات آنها دسترسی پیدا کنید Access Token Types and their Tradeoffs

  • توکن های مرجع در مقابل توکن های خود کدگذاری شده Reference Tokens vs Self-Encoded Tokens

  • مزایا و معایب توکن های مرجع Pros and Cons of Reference Tokens

  • مزایا و معایب توکن های خود کدگذاری شده Pros and Cons of Self-Encoded Tokens

  • محافظت از نقطه پایانی API با توکن های دسترسی Protecting an API Endpoint with Access Tokens

توکن های دسترسی JWT JWT Access Tokens

  • ساختار یک توکن دسترسی JWT The Structure of a JWT Access Token

  • درون نگری رمز از راه دور Remote Token Introspection

  • اعتبار سنجی توکن محلی Local Token Validation

  • بهترین های هر دو جهان: استفاده از دروازه API The Best of Both Worlds: Using an API Gateway

  • توکن های دسترسی JWT JWT Access Tokens

انتخاب طول عمر توکن Choosing Token Lifetimes

  • افزایش امنیت با طول عمر توکن کوتاه Increasing Security with Short Token Lifetimes

  • بهبود تجربه کاربر با طول عمر توکن طولانی Improving User Experience with Long Token Lifetimes

  • انتخاب متناوب طول عمر توکن Contextually Choosing Token Lifetimes

  • آزمون مادام العمر رمز Token Lifetime Quiz

مدیریت توکن های دسترسی باطل یا باطل شده Handling Revoked or Invalidated Access Tokens

  • دلایلی که چرا یک توکن دسترسی ممکن است باطل شود Reasons Why an Access Token May become Invalidated

  • مشکل اعتبار سنجی محلی The Problem with Local Validation

  • ملاحظات طول عمر توکن Token Lifetime Considerations

  • چگونه برنامه ها می توانند توکن های دسترسی را باطل کنند How Applications can Revoke Access Tokens

  • مدیریت توکن های باطل شده Handling Revoked Tokens

محدوده های OAuth OAuth Scopes

  • هدف از حوزه های OAuth The Purpose of OAuth Scopes

  • تعریف محدوده برای API شما Defining Scopes for your API

  • درخواست رضایت کاربر Prompting the User for Consent

  • Scopes را در API خود اعمال کنید Enforce Scopes in your API

نتیجه Conclusion

  • آینده OAuth: OAuth 2.1 The Future of OAuth: OAuth 2.1

  • منابع اضافی و مطالعه بیشتر Additional Resources and Further Reading

  • با تشکر از شما برای شرکت در دوره! Thank You for Taking the Course!

نمایش نظرات

آموزش مهره و پیچ و مهره OAuth 2.0
جزییات دوره
3.5 hours
51
Udemy (یودمی) Udemy (یودمی)
(آخرین آپدیت)
23,053
4.6 از 5
ندارد
دارد
دارد
Aaron Parecki
جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Aaron Parecki Aaron Parecki

کارشناس و نویسنده OAuth