本书旨在向读者介绍API安全的重要性,以及可用于保护API的手段。通过全流程的讲解和指导,与读者分享对API进行更安全设计的最佳实践,并在介绍概念和理论的基础上,进一步通过具体实例对其加以阐释。前半部分介绍从传统的HTTP基本认证到OAuth 2.0协议,据此深入讲解了用于保护API的多种技术,以及基于OAuth协议功能构建的上层协议,比如OpenID Connect协议、用户管理访问协议等。后半部分将详细介绍基于JSON格式的Web加密(JWE)和基于JSON格式的Web签名(JWS)两种技术。目前开发的大部分API仅支持JSON格式而不支持XML格式。在本书中,我们将重点关注JSON安全。
本书适合对API设计的最佳实践感兴趣的企业安全架构师作为参考,也适合正在构建企业API并与内部和外部应用集成的开发人员阅读。
展开