장바구니 담기 close

장바구니에 상품을 담았습니다.

장바구니로 계속쇼핑하기
OAuth 2.0 API 보안 2/e
미리보기

OAuth 2.0 API 보안 2/e

  • 프라바스시리와데나
  • |
  • 에이콘출판
  • |
  • 2021-06-15 출간
  • |
  • 524페이지
  • |
  • 188 X 235 X 30 mm
  • |
  • ISBN 9791161755328
판매가

40,000원

즉시할인가

36,000

배송비

무료배송

(제주/도서산간 배송 추가비용:3,000원)

추가상품
상품선택
독서대 7,900원 독서대 선택안함 0원
수량
+ -
총주문금액
36,000
장바구니 구매하기

※ 스프링제본 상품은 반품/교환/환불이 불가능하므로 신중하게 선택하여 주시기 바랍니다.

북스크린영상으로 만나보는 한 권의 책 이야기

출판사서평




[옮긴이의 말]
지금 시대에서 API는 선택이 아닌 필수다. 많은 기업이 앞 다투어 ‘API화’에 총력을 기울이고 있다. 그에 따라 중요한 자산들이 자연스럽게 노출되고 있으며, 설계 단계에서부터의 보안이 대두되고 있다.
이 책은 개념과 이론을 단순히 제시하는 것뿐만 아니라 구체적인 예시를 통해 API를 안전하게 관리하고 사용하는 방법을 설명한다. API 개발자에게 필수 서적이 될 것이다.
- 강병윤

요즘 앱을 포함한 거의 모든 사이트에 ‘구글’, ‘페이스북’, ‘카카오톡’ 등으로 로그인하는 기능이 있다. 또한 인터넷 시장이 커지면서 각 사이트끼리 정보를 교류하며 동작하는 애플리케이션이 많아졌다. 이 기능을 OAuth가 해결해 줄 수 있는데, 이를 잘못 이용하면 큰 취약점이 생기게 된다. 요즘 보안 사고가 발생해 해당 애플리케이션뿐 아니라 기업의 이미지가 심각하게 손상을 입는 경우를 쉽게 볼 수 있다. 이제 개발자에게 보안 코딩은 필수 역량이 됐다.
이 책은 OAuth에 대한 개념이 없는 사람도 이해할 수 있게 OAuth에 대한 설명부터 시작한다. 그리고 공격자가 어떻게 공격하는지, 공격을 어떻게 막을 수 있는지 설명했다. OAuth를 사용하려는 개발자에게 굉장히 훌륭한 지침서가 될 것이고, 정보 보안 일을 하고 있는 사람도 단순한 해킹 기술이 아닌 OAuth의 지식도 쌓을 수 있다. OAuth의 기초부터 해킹, 보안 코딩까지 OAuth 보안과 관련된 폭넓은 주제를 깊이 있게 다뤄 OAuth 보안과 관련 실무 담당자에게 훌륭한 안내서가 될 것이다.
-김한수


목차


1장. API 규칙
__API 경제
____아마존
____세일즈포스
____우버
____페이스북
____넷플릭스
____월그린스
____정부
____IBM 왓슨
____오픈 뱅킹
____헬스케어
____웨어러블
____사업 모델
__API의 변화
__API 관리
__마이크로서비스에서 API의 역할
__요약

2장. API 보안 설계
__문제의 삼위일체
__설계 도전 과제
____사용자 경험
____성능
____가장 취약한 연결고리
____심층 방어
____내부자 공격
____감추는 것을 통한 보안
__설계 원칙
____최소 권한
____고장 안전 디폴트
____메커니즘의 경제성
____완전한 중재
____개방형 설계
____권한 분리
____최소 공통 메커니즘
____심리적 수용
__보안 3 요소
____기밀성
____무결성
____가용성
__보안 제어
____인증
____인가
____부인 방지
____감사
__요약

3장. 전송 계층 보안을 이용한 API 보안
__환경 설정
__Order API의 배포
__전송 계층 보안을 이용한 Order API 보안
__TLS 상호 인증을 이용한 Order API 보호
__도커에서 OpenSSL 실행
__요약

4장. OAuth 2.0 기초
__OAuth 2.0 이해
__OAuth 2.0 구성 요소
__승인 방식
____인가 코드 승인 방식
____암시적 승인 유형
____자원 소유자 패스워드 자격증명 승인 유형
____클라이언트 자격증명 승인 유형
____갱신 승인 유형
____적절한 승인 유형을 선택하는 방법
__OAuth 2.0 토큰 유형
____OAuth 2.0 베어러 토큰 프로필
__OAuth 2.0 클라이언트 유형
__JWT 보안 인가 요청(JAR)
__푸시된 인가 요청
__요약

5장. API 게이트웨이를 이용한 에지 보안
__Zuul API 게이트웨이 설정
____Order API 실행
____Zuul API 게이트웨이 실행
____배후에서 벌어지는 일
__Zuul API 게이트웨이에서 TLS 활성화
__Zuul API 게이트웨이에서 OAuth 2.0 토큰 유효성 검사 시행
____OAuth 2.0 보안 토큰 서비스 설정
____OAuth 2.0 보안 토큰 서비스 테스트
____OAuth 2.0 토큰 유효성 검사를 위한 Zuul API 게이트웨이 설정
__Zuul API 게이트웨이와 주문 서비스 사이에서 상호 TLS 활성화
__독립형 액세스 토큰을 이용한 Order API 보안
____JWT를 발행하기 위한 인가 서버 설정
____JWT를 이용한 Zuul API 게이트웨이 보호
__웹 애플리케이션 방화벽의 역할
__요약

6장. OpenID 커넥트(OIDC)
__OpenID부터 OIDC까지
__아마존은 여전히 OpenID 2.0을 사용한다
__OpenID 커넥트 이해
__ID 토큰 분석
__OpenID 커넥트 요청
__사용자 속성 요청
__OpenID 커넥트 흐름
__사용자 정의 사용자 속성 요청
__OpenID 커넥트 디스커버리
__OpenID 커넥트 ID 공급자 메타데이터
__동적 클라이언트 등록
__보안 API를 위한 OpenID 커넥트
__요약

7장. JSON 웹 서명을 이용한 메시지 수준 보안
__JSON 웹 토큰의 이해
____JOSE 헤더
____JWT 클레임 세트
____JWT 서명
__JSON 웹 서명(JWS)
____JWS 콤팩트 직렬화
____콤팩트 직렬화의 서명 절차
____JWS JSON 직렬화
____JSON 직렬화의 서명 절차
__요약

8장. JSON 웹 암호화를 이용한 메시지 수준 보안
__JWE 콤팩트 직렬화
____JOSE 헤더
____JWE 암호화 키
____JWE 초기화 벡터
____JWE 암호문
____JWE 인증 태그
____암호화 절차(콤팩트 직렬화)
__JSON 직렬화
____JWE Protected 헤더
____JWE Shared Unprotected 헤더
____JWE Per-Recipient Unprotected 헤더
____JWE 초기화 벡터
____JWE 암호문
____JWE 인증 태그
__암호화 절차(JSON 직렬화)
__Nested JWTs
__요약

9장. OAuth 2.0 프로파일
__토큰 내부 검사
__체인 승인 방식
__토큰 교환
__동적 클라이언트 등록 프로파일
__토큰 폐지 프로파일
__요약

10장. 네이티브 모바일 앱을 통한 API 접근
__모바일 싱글 사인온(SSO)
____자격증명을 직접 이용한 로그인
____WebView를 이용한 로그인
____시스템 브라우저를 이용한 로그인
__네이티브 모바일 앱에서 OAuth 2.0 사용
____앱 간 통신
____PKCE
__브라우저리스(Browser-less) 앱
____OAuth 2.0 디바이스 인가 승인
__요약

11장. OAuth 2.0 토큰 바인딩
__토큰 바인딩의 이해
____토큰 바인딩 협상
__토큰 바인딩 프로토콜 협상을 위한 TLS 확장
__키 생성
__소유 증명
__OAuth 2.0 리프레시 토큰을 위한 토큰 바인딩
__OAuth 2.0 인가 코드/액세스 토큰을 위한 토큰 바인딩
__TLS 종료
__요약

12장. API 접근 페더레이팅
__페더레이션 활성화
__브로커 인증
__보안 어써션 마크업 언어(SAML)
__SAML 2.0 클라이언트 인증
__OAuth 2.0을 위한 SAML 승인 유형
__OAuth 2.0을 위한 JWT 승인 유형
__JWT 승인 유형 애플리케이션
__JWT 클라이언트 인증
__JWT 클라이언트 인증 애플리케이션
__JWT 파싱과 검증
__요약

13장. 사용자 관리 액세스
__사용 예
__UMA 2.0 역할
__UMA 프로토콜
__대화형 클레임 수집
__요약

14장. OAuth 2.0 보안
__ID 제공자 혼합
__사이트 간 요청 위조(CSRF)
__토큰 재사용
__토큰 노출/export
__오픈 리다이렉트
__코드 차단 공격
__암시적 승인 유형에서의 보안 결함
__구글 문서 피싱 공격
__요약

15장. 패턴과 연습
__신뢰할 수 있는 서브시스템을 통한 직접 인증
__위임된 접근 통제를 통한 단일 사용자 인증
__위임된 윈도우 인증을 통한 단일 사용자 인증
__위임된 접근 통제를 통한 자격증명 프록시
__위임된 접근 통제를 통한 JSON 웹 토큰
__JSON 웹 서명을 통한 부인 방지
__사슬로 연결된 접근 위임
__신뢰할 수 있는 마스터 접근 위임
__위임된 접근 통제를 통한 자원 보안 토큰 서비스
__유선으로 인증 정보를 전달하지 않는 위임된 접근 권한
__요약

부록A. 인증 위임의 진화
__직접 위임과 중개 위임
__진화
____Google ClientLogin
____Google AuthSub
____플리커 인증 API
____야후! 브라우저 기반 인증(BBAuth)
____OAuth

부록B. OAuth 1.0
__토큰 댄스
____임시 인증 정보 요청 단계
____자원 소유자 권한 부여 단계
____토큰 인증 정보 요청 단계
____OAuth 1.0을 사용하는 보호된 비즈니스 API 호출
__oauth_signature 이해
____임시 인증 정보 요청 단계에서 기본 문자열 생성
____토큰 인증 정보 요청 단계에서 기본 문자열 생성
____서명 생성
____API 호출에서 기본 문자열 생성
__삼각 OAuth와 이각 OAuth
__OAuth WRAP
____클라이언트 계정과 패스워드 프로파일
____증명 프로파일
____사용자 이름과 패스워드 프로파일
____웹 앱 프로파일
____리치 앱 프로파일
____WRAP로 보호된 API 접근
____OAuth 2.0에 WRAP
부록C. TLS의 동작 방식
__TLS의 변화
__전송 제어 프로토콜
__TLS는 어떻게 동작하는가
____TLS 핸드셰이크
____애플리케이션 데이터 전송

부록D. UMA의 발전
__서비스 제공 보호 규약
____UMA와 OAuth
__UMA 1.0 구조
__UMA 1.0의 진행 단계
____UMA 1단계: 자원 보호
____UMA 2단계: 인증 획득
____UMA 3단계: 보호된 자원 접근
__UMA API
____Protection API
____Authorization API

부록E. Base64 URL 인코딩

부록F. 기본/다이제스트 인증
__HTTP 기본 인증
__HTTP 다이제스트 인증

부록G. OAuth 2.0 MAC 토큰 프로필
__베어러 토큰과 MAC 토큰
__MAC 토큰 획득
__OAuth 2.0 MAC 토큰 프로필로 보호된 API 호출
__MAC 계산
__자원 서버에 의한 MAC 유효성 검사
__OAuth 승인 유형과 MAC 토큰 프로필
__OAuth 1.0과 OAuth 2.0 MAC 토큰 프로필
추천포스트

교환 및 환불안내

도서교환 및 환불
  • ㆍ배송기간은 평일 기준 1~3일 정도 소요됩니다.(스프링 분철은 1일 정도 시간이 더 소요됩니다.)
  • ㆍ상품불량 및 오배송등의 이유로 반품하실 경우, 반품배송비는 무료입니다.
  • ㆍ고객님의 변심에 의한 반품,환불,교환시 택배비는 본인 부담입니다.
  • ㆍ상담원과의 상담없이 교환 및 반품으로 반송된 물품은 책임지지 않습니다.
  • ㆍ이미 발송된 상품의 취소 및 반품, 교환요청시 배송비가 발생할 수 있습니다.
  • ㆍ반품신청시 반송된 상품의 수령후 환불처리됩니다.(카드사 사정에 따라 카드취소는 시일이 3~5일이 소요될 수 있습니다.)
  • ㆍ주문하신 상품의 반품,교환은 상품수령일로 부터 7일이내에 신청하실 수 있습니다.
  • ㆍ상품이 훼손된 경우 반품 및 교환,환불이 불가능합니다.
  • ㆍ반품/교환시 고객님 귀책사유로 인해 수거가 지연될 경우에는 반품이 제한될 수 있습니다.
  • ㆍ스프링제본 상품은 교환 및 환불이 불가능 합니다.
  • ㆍ군부대(사서함) 및 해외배송은 불가능합니다.
  • ㆍ오후 3시 이후 상담원과 통화되지 않은 취소건에 대해서는 고객 반품비용이 발생할 수 있습니다.
반품안내
  • 마이페이지 > 나의상담 > 1 : 1 문의하기 게시판 또는 고객센터 1800-7327
교환/반품주소
  • 경기도 파주시 문발로 211 1층 / (주)북채널 / 전화 : 1800-7327
  • 택배안내 : CJ대한통운(1588-1255)
  • 고객님 변심으로 인한 교환 또는 반품시 왕복 배송비 5,000원을 부담하셔야 하며, 제품 불량 또는 오 배송시에는 전액을 당사에서부담 합니다.