آموزش امنیت API های REST - احراز هویت پایه (BasicAuth) - مجوز (Authorization) - توکن وب JSON یا JWT - اوآث (OAuth) - احراز هویت چند عاملی (MFA) - کد تایید اعتبار پیام (HMAC) - آخرین آپدیت

سرفصل ها و درس ها

مقدمه Introduction

• معرفی دوره Course Introduction

• نحوه استفاده بهینه از دوره How To Get the Best out of the Course

• مقدمه امنیت Security Introduction

• احراز هویت Authentication

• مجوز Authorization

راه اندازی محیط Environment Set-up

• نصب ابزارها Tools Installation

سناریو استفاده - API کتاب ها Use Case - Books API

• مشخصات Open API برای API کتاب ها Open API Spec for Books API

• توسعه اولیه API کتاب ها Initial Development of Books API

اولین قدم برای ایمن سازی API First Step to Securing API

• HTTPS و تولید گواهی امضا شده توسط خود HTTPS and Generating Self Signed Cert

• فعال کردن HTTPS برای API کتاب ها Enabling HTTPS for Books API

• بررسی گواهینامه ها Examinig Certificates

فیلترها Filters

• فیلترها Filters

معرفی احراز هویت پایه Basic Authentication Introduction

• معرفی احراز هویت پایه Basic Authentication Introduction

احراز هویت پایه - در حافظه Basic Authentication - In-memory

• پیاده سازی UserDetails Implementing UserDetails

• سرویس کاربر User Service

• پیاده سازی UserDetailsService Implementing UserDetailsService

• پیکربندی امنیت Configuring Security

• ایجاد BasicAuthenticationEntryPoint Creating BasicAuthenticationEntryPoint

• گردآوری همه موارد Bringing it all together

• مشاهده عملکرد See it in action

• فایل به عنوان مخزن کاربر File as User Repository

احراز هویت پایه - پایگاه داده Basic Authentication - Database

• راه اندازی DB Setting Up DB

• ایجاد جدول کاربران Create Users Table

• ایجاد موجودیت کاربر Creating User Entity

• تغییر UserService و تست Changing UserService and Testing

مجوز Authorization

• API برای ایجاد یک کتاب API for Creating a Book

• اختیار Authority

• کدنویسی مجوز Coding Authorization

مجوز با نقش ها و اختیارات Authorization with Roles and Authorities

• نقش در مقابل اختیار Role vs Authority

• تغییرات پایگاه داده Database Changes

• کد JPA JPA Code

• ترکیب نقش ها و اختیارات Combining Roles and Authorities

• تست تغییرات نقش و اختیار Testing Role and Authority changes

JWT JWT

• معرفی JWT Introduction to JWT

• بخش های JWT Parts of JWT

• JSessionId JSessionId

• کدنویسی احراز هویت JWT JWT Authentication Coding

• تست احراز هویت JWT JWT Authentication Testing

• کدنویسی مجوز JWT JWT Authorization Coding

• تست مجوز JWT JWT Authorization Testing

استفاده از JWT برای Microservices Using JWT for Microservices

• معرفی API نویسندگان Introducing Authors API

• پیاده سازی API نویسندگان Authors API Implementation

• ایمن سازی API نویسندگان با JWT Authors API Secured with JWT

• مشکل چیست What is the Problem

• راه حل چیست What is the Solution

• توسعه Users WS Developing Users WS

• تست با User WS در عمل Testing with User WS in action

• حذف کد اضافی Removing Redundant Code

• واکشی نقش ها از JWT Fetching Roles from JWT

• تست مجوز Testing Authorization

مقدمه OAuth-2 OAuth-2 Introduction

• OAuth 2 - مقدمه OAuth 2 - Introduction

• OAuth 2 - مثال OAuth 2 - Example

• اصطلاحات اساسی Basic Terminology

• جریان کد مجوز Authorization Code Flow

• کانال پشتی و جلویی Back and Front Channel

• سایر جریان های OAuth 2 Other OAuth 2 Flows

Open ID Connect چیست What is Open ID Connect

• Open ID Connect چیست What is Open ID Connect

معرفی Okta Okta Introduction

• معرفی Okta Okta Introduction

• ایجاد یک حساب رایگان در Okta Creating a Free Account in Okta

OIDC در عمل OIDC in Action

• ثبت API کاربران در Okta Registering Users API in Okta

• تغییرات کد در Users WS Code changes in Users WS

• صفحه رضایت کاربر User Consent Screen

• تغییرات رضایت در صفحه مدیر Okta Consent Changes on Okta Admin page

• تست رضایت کاربر Testing User Consent

OAuth 2 در مقابل OIDC OAuth 2 vs OIDC

• دریافت توکن های دسترسی و ID با استفاده از Postman Getting Access and ID Tokens using Postman

• ثبت API کاربران در Github Resgistering Users API in Github

• دریافت توکن دسترسی از Github Getting Access Token from Github

• مقایسه OAuth 2 و OIDC Comparing OAuth 2 and OIDC

• توکن دسترسی در مقابل توکن ID Access Token vs ID Token

ایمن سازی API نویسندگان با Okta Securing Authors API with Okta

• خلاص شدن از API ورود به سیستم Getting rid of login API

• تغییرات کد برای API نویسندگان Code Changes for Authors API

• تست و اشکال زدایی مجوز Testing and Debugging Authorization

• اضافه کردن کاربر عادی و ایجاد گروه آن Adding Normal User and Creating its Group

• تست URI دوم - درخواست GET Testing Second URI - GET Request

• ثبت API نویسندگان در Okta Registering Authors API in Okta

MFA - احراز هویت چند عاملی MFA - Multi Factor Authentication

• تنظیم ایمیل MFA در Okta Setting Email MFA in Okta

• تست ایمیل MFA Testing Email MFA

• سایر عوامل و دریافت راهنمایی در مورد MFA Other Factors and Getting Help with MFA

HMAC HMAC

• معرفی HMAC HMAC Introduction

• مراحل HMAC HMAC Steps

• تعریف استانداردهای سرور Defining Server Standards

• کدنویسی HMAC HMAC Coding

• تست HMAC HMAC Testing