آموزش امنیت OAuth پیشرفته

سرفصل ها و درس ها

مقدمه ای برای این دوره Intro to this Course

• مقدمه ای برای این دوره Intro to this Course

بخش 1: امنیت در OAuth 2.0 Part 1: Security in OAuth 2.0

• مقدمه قسمت 1 Intro to Part 1

• بررسی جریان کد مجوز Review of the Authorization Code Flow

• کانال جلو در مقابل کانال پشت Front Channel vs Back Channel

• کانال جلو در مقابل کانال پشت Front Channel vs Back Channel

• اهداف امنیتی Security Goals

• مدل مهاجم Attacker Model

• حفاظت از جریان OAuth Protecting the OAuth Flow

• امنیت در OAuth 2.0 Security in OAuth 2.0

قسمت 2: ایمن سازی کانال جلو Part 2: Securing the Front Channel

• مقدمه قسمت 2 Intro to Part 2

• حملات تزریق کد مجوز Authorization Code Injection Attacks

• چگونه PKCE از حملات تزریق کد مجوز جلوگیری می کند How PKCE Prevents Authorization Code Injection Attacks

• یک تأیید کننده کد PKCE و چالش کد را محاسبه کنید Calculate a PKCE code verifier and code challenge

• تاریخچه PKCE History of PKCE

• PKCE PKCE

• حملات مختلط سرور مجوز Authorization Server Mixup Attacks

• جلوگیری از حملات مختلط با شناسه صادرکننده سرور مجوز Preventing Mixup Attacks with the Authorization Server Issuer Identifier

• حملات مختلط Mixup Attacks

• مشکلات راه اندازی در کانال جلو The Problems with Starting in the Front Channel

• اجتناب از کانال جلو با درخواست‌های مجوز تحت فشار Avoiding the Front Channel with Pushed Authorization Requests

• درخواست های مجوز تحت فشار Pushed Authorization Requests

قسمت 3: ایمن سازی کانال پشت Part 3: Securing the Back Channel

• احراز هویت مشتری در OAuth Client Authentication in OAuth

• MTLS به عنوان تأیید اعتبار مشتری MTLS as Client Authentication

• کلید خصوصی JWT به عنوان تأیید اعتبار مشتری Private Key JWT as Client Authentication

• کانال برگشت Back Channel

بخش 4: ایمن سازی توکن های دسترسی Part 4: Securing Access Tokens

• مقدمه قسمت 4 Intro to Part 4

• الزامات اضافی برای اعتبار سنجی رمز دسترسی Additional Requirements for Access Token Validation

• مشکل با توکن های حامل The Problem with Bearer Tokens

• MTLS برای توکن‌های دسترسی محدود به فرستنده MTLS for Sender-Constrained Access Tokens

• DPoP برای توکن‌های دسترسی محدود به فرستنده DPoP for Sender-Constrained Access Tokens

• دسترسی به توکن ها Access Tokens

قسمت 5: عدم انکار Part 5: Non-Repudiation

• مقدمه ای بر عدم انکار Intro to Non-Repudiation

• امضای درخواست های مجوز (JAR) Signing Authorization Requests (JAR)

• پاسخ‌های مجوز امضا (JARM) Signing Authorization Responses (JARM)

• JAR و JARM JAR and JARM

• امضای پاسخ های درون نگری Signing Token Introspection Responses

• امضای تمام درخواست های منابع Signing All Resource Requests

• امضای همه پاسخ های منابع Signing All Resource Responses

• امضای HTTP HTTP Signing

• خلاصه عدم انکار Summary of Non-Repudiation

بسته شدن Wrap-Up

• تبریک می گویم! Congratulations!