本书旨在向读者介绍API安全的重要性，以及可用于保护API的手段。通过全流程的讲解和指导，与读者分享对API进行更安全设计的最佳实践，并在介绍概念和理论的基础上，进一步通过具体实例对其加以阐释。前半部分介绍从传统的HTTP基本认证到OAuth 2.0协议，据此深入讲解了用于保护API的多种技术，以及基于OAuth协议功能构建的上层协议，比如OpenID Connect协议、用户管理访问协议等。后半部分将详细介绍基于JSON格式的Web加密（JWE）和基于JSON格式的Web签名（JWS）两种技术。目前开发的大部分API仅支持JSON格式而不支持XML格式。在本书中，我们将重点关注JSON安全。 本书适合对API设计的最佳实践感兴趣的企业安全架构师作为参考，也适合正在构建企业API并与内部和外部应用集成的开发人员阅读。

前言
致谢
作者简介
第1章 API就是一切
1.1 API经济
1.1.1 实例
1.1.2 商业模式
1.2 API发展历程
1.3 API管理
1.4 API在微服务中的作用
1.5 总结
第2章 API设计安全
2.1 三重困境
2.2 设计挑战
2.3 设计原则
2.4 安全三要素
2.5 安全控制
2.6 总结
第3章 利用TLS协议保护API
3.1 搭建环境
3.2 部署订单API
3.3 利用TLS协议保护订单API
3.4 利用相互TLS协议保护订单API
3.5 在Docker容器中运行OpenSSL
3.6 总结
第4章 OAuth 2.0协议基础
4.1 OAuth 2.0协议简介
4.2 OAuth 2.0协议参与者
4.3 授权模式
4.4 OAuth 2.0协议令牌类型
4.5 OAuth 2.0协议客户类型
4.6 JWT保护的授权请求
……
第5章 API网关边际安全
第6章 OpenID Connect协议
第7章 利用JSON Web签名实现消息级安全
第8章 利用JSON Web加密实现消息级安全
第9章 OAuth 2.0协议配置
第10章 通过本地移动应用访问API
第11章 OAuth 2.0协议令牌绑定
第12章 API联合访问
第13章 用户管理访问
第14章 OAuth 2.0协议安全
第15章 模式与实践
附录