數字身份認證技術與實踐

作者：編者:田傑|責編:趙軍
出版社：清華大學
ISBN：9787302658825

出版日期：2024/04/01
裝幀：平裝
頁數：391

人民幣：RMB 109 元售價：元

內容大鋼

本書內容涵蓋身份認證的基礎理論，包括身份認證與授權的區別、常見的認證方式以及關鍵技術和協議，如SAML、OAuth 2.0、OIDC等。除基礎概念外，本書還展示如何在不同的環境中安全地接入和實現身份認證，包括純前端應用、BFF和後端領域服務。同時，本書詳細討論如何在現有應用中集成其他身份認證系統，以及如何實現社交賬號登錄等功能。對於追求深入理解的讀者，本書還準備了一些高級主題，包括在微信小程序中集成認證平台、GraphQL中的身份認證、單點登錄、統一登出、多因素認證以及OIDC的高級許可模式等內容。本書不僅提供概念性的解釋，還借助豐富的代碼案例，使用多種編程語言（.Net、Java、Node.js）來展示身份認證技術的應用，讓讀者在實踐中加深理解。
本書是為數字化時代的軟體工程師、系統架構師、信息安全專家以及對身份認證感興趣的讀者量身定製的圖書。本書不僅可以幫助讀者建立起身份認證的知識體系，更重要的是教會讀者如何在實際工作中靈活應用這些知識。如果您希望在數字身份認證領域深入發展，或者希望提升應用安全性，那麼本書將是您理想的選擇。

作者介紹

編者:田傑|責編:趙軍

第1部分  身份認證的基礎概念
  第1章  什麼是身份認證
    1.1  身份認證簡介以及和授權的聯繫與區別
      1.1.1  身份認證簡介
      1.1.2  身份認證與授權的聯繫與區別
    1.2  認證目標對象有哪些
      1.2.1  機器認證
      1.2.2  人類認證
    1.3  認證場景有哪些
      1.3.1  2A，面向API的身份認證
      1.3.2  2B，面向企業合作夥伴的身份認證
      1.3.3  2C，面向客戶的身份認證
      1.3.4  2D，面向開發者的身份認證
      1.3.5  2E，面向內部員工的身份認證
    1.4  常用術語有哪些
      1.4.1  令牌與會話如何選擇
      1.4.2  什麼是SAML、OAuth 2.0和OIDC
      1.4.3  許可類型
      1.4.4  訪問令牌和身份令牌的區別
      1.4.5  刷新令牌是什麼
      1.4.6  什麼是單點登錄
    1.5  小結
  第2章  認證機制與相關演算法
    2.1  認證的基本原理，怎麼證明你是誰
      2.1.1  認證的基本原理
      2.1.2  常見的身份驗證方法
    2.2  電腦安全學基礎
      2.2.1  機密性、完整性和可用性
      2.2.2  安全機制：哈希與加密
      2.2.3  非對稱加密在身份認證過程中的應用
    2.3  常用的演算法
      2.3.1  SHA（重點：SHA256）
      2.3.2  自適應單向函數
      2.3.3  RSA
      2.3.4  常用的簽名演算法
    2.4  JWT結構化令牌詳解
      2.4.1  頭部
      2.4.2  載荷
      2.4.3  簽名
      2.4.4  動手實驗
    2.5  小結
  第3章  認證解決方案
    3.1  雲解決方案
      3.1.1  IaaS、PaaS、SaaS與IDaaS
      3.1.2  多租戶的概念及其實例
      3.1.3  IDaaS實例
    3.2  開源解決方案
      3.2.1  基於Java的Keycloak及其關鍵組件
      3.2.2  CAS
      3.2.3  基於.NET Core的Duende IdentityServer

      3.2.4  基於Node.js的OIDC Server
    3.3  小結
第2部分  身份認證的實戰應用
  第4章  純前端應用如何接入身份認證
    4.1  實例講解
      4.1.1  準備工作
      4.1.2  實例演示
    4.2  安全性分析及應對策略
      4.2.1  公開客戶端
      4.2.2  關閉隱式許可流程
      4.2.3  開啟PKCE
    4.3  小結
  第5章  前端代理伺服器如何接入身份認證
    5.1  BFF架構的演進回顧
      5.1.1  單體應用架構
      5.1.2  前後端分離架構
      5.1.3  BFF架構
      5.1.4  BFF架構的發展
    5.2  BFF中的身份認證實現方式
    5.3  BFF中的身份認證流程
    5.4  示例代碼
    5.5  實例講解
      5.5.1  在Naive BFF中接入認證平台
      5.5.2  在TMI BFF中接入認證平台
      5.5.3  在Full BFF中接入認證平台
    5.6  小結
  第6章  後端領域服務如何接入身份認證
    6.1  領域服務和BFF有什麼區別
    6.2  實例講解
      6.2.1  在Java Spring Boot應用中接入認證
      6.2.2  通過Bean方式擴展Spring應用
      6.2.3  不使用spring-boot-starter-oauth2-resource-server
    6.3  小結
  第7章  成熟的產品如何接入身份認證
    7.1  在自托管GitLab實例中集成Keycloak登錄
      7.1.1  步驟詳解
      7.1.2  測試登錄
      7.1.3  總結
    7.2  Keycloak互相集成
      7.2.1  在線演示
      7.2.2  單點登錄
      7.2.3  集成步驟
    7.3  用OIDC方式在Keycloak中集成阿里雲登錄方式
      7.3.1  最終效果體驗
      7.3.2  在阿里雲RAM訪問控制台的OAuth應用中創建應用
      7.3.3  在Keycloak中添加Identity Provider
      7.3.4  在阿里雲控制台回填回調地址
      7.3.5  在阿里雲身份管理工作台創建用戶
      7.3.6  在Keycloak中給Identity Provider增加Mappers
      7.3.7  在Keycloak中給Client scopes增加Mappers

      7.3.8  定製用戶完善資料頁面
      7.3.9  郵箱驗證
    7.4  小結
  第8章  社交登錄實戰
    8.1  在Keycloak中集成GitHub登錄
      8.1.1  註冊應用
      8.1.2  添加GitHub提供者
      8.1.3  驗證
    8.2  在IdentityServer中添加GitHub登錄
      8.2.1  線上體驗
      8.2.2  準備工作
      8.2.3  核心代碼
    8.3  在Duende IdentityServer中集成Epic Games登錄
      8.3.1  效果演示
      8.3.2  配置
      8.3.3  將域名添加到組織中
      8.3.4  概念
      8.3.5  創建產品
      8.3.6  創建客戶端
      8.3.7  記下客戶端憑據
      8.3.8  添加回調地址
      8.3.9  創建應用
      8.3.10  關聯客戶端
      8.3.11  填寫法律必需的URL
      8.3.12  Epic Games的OIDC端點
      8.3.13  授權
      8.3.14  獲取令牌
      8.3.15  典型的響應
      8.3.16  代碼實現
      8.3.17  完成
    8.4  三步開發社交賬號登錄
      8.4.1  不要自行實現
      8.4.2  自行實現的一般套路
      8.4.3  在Keycloak中開發釘釘登錄插件
    8.5  小結
  第9章  本部分的總結回顧
    9.1  對接身份認證的一般套路
      9.1.1  在身份認證平台註冊應用
      9.1.2  在應用中配置身份認證平台的信息
      9.1.3  構造OIDC授權請求
      9.1.4  構造OIDC Token請求
      9.1.5  使用OIDC Token請求OIDC用戶信息
      9.1.6  調用退出端點
      9.1.7  相關故障排除指引
    9.2  以Keycloak為例做個梳理
      9.2.1  涉及的請求端點
      9.2.2  流程圖概覽
      9.2.3  步驟詳解
    9.3  以一個集成測試結束
      9.3.1  添加測試工程

      9.3.2  添加測試類
      9.3.3  配置發現
      9.3.4  登錄授權
      9.3.5  處理回調以及提取授權碼
      9.3.6  請求令牌
      9.3.7  請求用戶信息
      9.3.8  總結
第3部分  高級主題
  第10章  如何在微信小程序中集成認證平台
    10.1  和Web相比，微信小程序有哪些限制
    10.2  Web View如何安全地取得小程序的原生身份信息
    10.3  個人版小程序如何對接身份認證平台
    10.4  小結
  第11章  GraphQL身份認證
    11.1  GraphQL簡介
    11.2  在GraphQL中如何實現身份認證
    11.3  小結
  第12章  如何實現單點登錄和用戶聯邦
    12.1  用戶連接與用戶聯邦
    12.2  單點登錄實戰
      12.2.1  使用Keycloak打造多個系統間的單點登錄體驗
      12.2.2  在Strapi中接入單點登錄
    12.3  用戶聯邦實戰
      12.3.1  在Keycloak中聯邦LDAP用戶源
      12.3.2  基於Keycloak實現自定義的聯邦源
    12.4  在Duende IdentityServer中實現用戶聯邦
    12.5  小結
  第13章  如何實現統一登出
    13.1  僅退出當前應用
    13.2  退出當前應用和登錄平台
      13.2.1  前通道
      13.2.2  后通道
    13.3  小結
  第14章  靈活實現掃碼登錄
    14.1  基於Spring Security實現公眾號關注即登錄
      14.1.1  背景和價值
      14.1.2  Java Spring-Security
      14.1.3  Open API
      14.1.4  關注公眾號即登錄的流程設計
      14.1.5  應用架構設計
      14.1.6  API First開發方式
      14.1.7  基於Spring Security實現關注微信公眾號即登錄
      14.1.8  總結
    14.2  基於Keycloak的關注微信公眾號即登錄方案
      14.2.1  好處
      14.2.2  實現效果預覽
      14.2.3  基於Keycloak的關注微信公眾號即登錄方案的實施架構
      14.2.4  具體設計與實現
      14.2.5  總結
    14.3  基於Authing.cn的關注微信公眾號即登錄的實現方案

      14.3.1  最終方案展示
      14.3.2  關注微信公眾號即登錄的核心要件
      14.3.3  其他方案及其與Authing.cn方案的對比
      14.3.4  實現步驟
      14.3.5  總結
    14.4  對接微信登錄的三種方式
      14.4.1  登錄原理概覽
      14.4.2  三種登錄方式的關鍵步驟
      14.4.3  總結
    14.5  小結
  第15章  多因素身份認證
    15.1  你所擁有的東西
      15.1.1  手機（作為令牌）
      15.1.2  通過簡訊發送一次性密碼
      15.1.3  通過電子郵件發送一次性密碼
      15.1.4  通過原生應用生成一次性密碼
      15.1.5  通過硬體生成一次性密碼
      15.1.6  智能卡
      15.1.7  硬體Fob
    15.2  你所知道的東西
      15.2.1  用戶名和密碼
      15.2.2  PIN
      15.2.3  安全問題
    15.3  你本身就是生物識別因素
      15.3.1  指紋
      15.3.2  聲紋
      15.3.3  面部識別
      15.3.4  虹膜掃描
      15.3.5  視網膜掃描
    15.4  小結
  第16章  設備碼授權流程
    16.1  對接Keycloak設備碼授權流程
      16.1.1  源代碼
      16.1.2  最終效果體驗
      16.1.3  配置
      16.1.4  獲取用戶授權碼和設備碼
      16.1.5  打開瀏覽器並瀏覽verification_uri
      16.1.6  等待用戶授權
      16.1.7  輪詢令牌
      16.1.8  用戶授權成功
      16.1.9  總結
    16.2  對接Duende IdentityServer的設備碼授權流程
      16.2.1  流程概覽
      16.2.2  準備工作
      16.2.3  效果演示
    16.3  在網頁中對接設備碼授權流程
      16.3.1  相關代碼提交
      16.3.2  增加獲取XSRF令牌介面
      16.3.3  測試先行
      16.3.4  增加介面

      16.3.5  添加網頁文件和相關的JS
      16.3.6  本地測試
      16.3.7  上線測試
      16.3.8  總結
  第17章  NONCE模式與令牌交換流程
    17.1  NONCE模式
    17.2  令牌交換流程
第4部分  身份認證的趨勢與展望
  第18章  趨勢與展望
    18.1  OIDC的新特性
      18.1.1  JAR
      18.1.2  PAR
    18.2  Passkey技術
    18.3  FIDO
    18.4  FIDO2和WebAuthn
    18.5  基於零信任的身份認證
      18.5.1  核心原則
      18.5.2  關鍵組件
      18.5.3  實施步驟
    18.6  分散式身份認證
      18.6.1  去中心化身份標識
      18.6.2  去中心化PKI體系
      18.6.3  可驗證憑證
    18.7  隱私保護和數據安全
    18.8  AI技術的應用
    18.9  小結
結語
參考文獻

同類熱銷排行榜

最近瀏覽的商品

數字身份認證技術與實踐