- ホーム
- > 洋書
- > ドイツ書
- > Mathematics, Sciences & Technology
- > Computer & Internet
- > internet, data communication, networks
Description
Sicheres Identitätsmanagement gestalten und integrieren
In diesem praxisnahen Entwicklerleitfaden zeigt Ihnen Martina Kraus, wie Sie sicheres Identity- und Access-Management mit OAuth und OpenID Connect gestalten, Schwachstellen vermeiden und moderne Sicherheitsstandards in Ihre Webanwendungen integrieren. Von Passwörtern, Cookies und Zertifikaten über FIDO-Authentifizierung bis zu modernen Konzepten wie RBAC (Role-Based Access Control), Policies, Zero Trust und Fine-Grained Authorization - mit diesem Buch meistern Sie die Herausforderungen der digitalen Identität.
- Identity Management mit OpenID Connect und Access Management mit OAuth
- Sicherheitsprobleme im Blick: Schwachstellen erkennen und beheben
- Vollständiges Anwendungsbeispiel: Identity Provider in WebApp integrieren
Aus dem Inhalt:
- Grundlagen: Authentifizierung & Autorisierung
- JSON Web Token als Austauschformat
- OAuth: Das Protokoll für sichere API-Autorisierung
- OAuth 2.0 vs OAuth 2.1: Neuerungen und Empfehlungen
- OpenID Connect: Single Sign-on und Social Login
- Backend to Frontend: das sichere Architekturmodell
- Identity Provider in eine WebApp implementieren
- Broken Access Control: Schwachstellen und Angriffe
Geleitwort des Fachgutachters ... 17
Danksagung ... 19
1. Einführung in die moderne Sicherheit von Webanwendungen ... 21
1.1 ... Welche Bedeutung hat die Absicherung von Webanwendungen? ... 21
1.2 ... Die Entwicklung von Sicherheitspraktiken für Webanwendungen ... 22
1.3 ... OAuth2 und OpenID Connect -- die heutigen Sicherheitsherausforderungen bewältigen ... 23
1.4 ... Die Rolle von OAuth2 und OpenID Connect bei der Abwehr neuer Sicherheitsbedrohungen ... 24
2. Das Grundprinzip der Authentifizierung ... 27
2.1 ... Passwortbasierte Authentifizierung ... 28
2.2 ... Cookiebasierte Authentifizierung ... 29
2.3 ... Tokenbasierte Authentifizierung ... 30
2.4 ... Zertifikatsbasierte Authentifizierung ... 33
2.5 ... Biometrische Authentifizierung ... 35
2.6 ... Multi-Faktor-Authentifizierung ... 37
2.7 ... Vergleich der Authentifizierungsmethoden ... 38
2.8 ... Single Sign-on: Zentralisierte Authentifizierung für mehr Komfort und Sicherheit ... 40
2.9 ... FIDO: Sicherheitsstandards für starke Authentifizierung ... 44
3. Autorisierung: Wer darf was? ... 65
3.1 ... Die Grundlagen der Autorisierung ... 66
3.2 ... Klassische Autorisierungsmodelle ... 68
3.3 ... Autorisierung in modernen Webanwendungen ... 78
3.4 ... Moderne Ansätze und Standards ... 83
3.5 ... Praktische Umsetzung ... 87
3.6 ... Herausforderungen und Zukunftsausblick ... 91
3.7 ... Fazit ... 94
4. Das JSON Web Token ... 97
4.1 ... Einführung und Verwendung eines JSON Web Tokens ... 97
4.2 ... Anatomie eines JWT ... 99
4.3 ... JWT-Claims im Detail ... 103
4.4 ... JSON Web Signature (JWS) ... 107
4.5 ... JSON Web Encryption (JWE) ... 117
4.6 ... Sign-then-Encrypt: Die Kombination von JWS und JWE ... 126
4.7 ... Bedrohungen und Schwachstellen bei der Verwendung von JWTs ... 127
4.8 ... Bewährte Praktiken im Umgang mit JSON Web Tokens ... 129
4.9 ... Post-Quantum-JWTs-Standards ... 133
5. Die Entwicklung von OAuth2 und OpenID Connect: Eine historische Betrachtung ... 137
5.1 ... Von zentralisierten zu föderierten Identitäten ... 137
5.2 ... Die Ära vor OAuth: SAML und seine Grenzen ... 138
5.3 ... Die Geburt von OAuth 1.0 ... 143
5.4 ... OAuth 2.0: Die Revolution -- von Signaturen zu Bearer-Tokens ... 148
5.5 ... Die Authenti Martina Kraus ist Application Security Engineer mit Leidenschaft für sichere Softwareentwicklung. Ihr Wissen über OAuth und OpenID Connect konnte sie als ehemalige Developer Advocate bei einem führenden Identity Provider weiter vertiefen. In ihrer Rolle als Google Developer Expert (GDE) für Angular und Identity sowie als aktives Mitglied der OWASP-Community teilt sie ihr Wissen über Websicherheit regelmäßig auf nationalen und internationalen Konferenzen.
