【Udemy中英字幕】Master OAuth 2.0: A Practical Guide to API Security

掌握 OAuth 2.0：API 安全实用指南

OAuth 2.0 具有实用流程、实现、实际用例以及稳健 API 架构的决策

讲师：Muhannad Darraj

双语IT资源独家Udemy付费课程，独家中英文字幕，配套资料齐全！

用不到1/10的价格，即可享受同样的高品质课程，且可以完全拥有，随时随地都可以任意观看和分享。

您将学到什么

• 了解 OAuth 2.0 令牌类型和格式：探索访问令牌、刷新令牌、JWT 和不透明令牌以保护现代 API。
• 了解令牌验证方法：了解何时使用本地验证或自省进行高效、安全的令牌验证。
• 选择正确的 OAuth 客户端类型：了解何时使用公共或机密客户端。
• 定义和构建 OAuth 范围：学习命名和构建 OAuth 范围，以实现有效、细粒度的 API 访问控制。
• 获得 OIDC 基础知识：了解 OpenID Connect 如何扩展 OAuth 以进行用户身份验证和单点登录。
• 掌握用户发起的流程：学习隐式、授权码和 PKCE 流程，以实现安全的用户身份验证。
• 探索流程挑战：通过真实的黑客场景分析漏洞并有效地解决它们。
• 选择最佳流程：使用决策树来确定最适合您的项目需求的 OAuth 流程。
• 发现高级流程机制：了解 JWT 安全授权请求 (JAR)、JWE 和推送授权请求 (PAR) 以增强 OAuth 2.0 安全性。
• 实现机器对机器流程：了解客户端凭证流，以实现安全的后端服务通信。
• 了解 ROPC 和设备代码流：发现资源所有者密码凭证和设备代码等流程，适用于输入有限的资源所有者和设备
• 掌握高级客户端身份验证方法：使用 JWT、SAML 断言和 X.509 mTLS 实现强大的 API 安全性。
• 学习 mTLS X.509 基础知识：建立相互 TLS、X.509 证书和公钥基础设施 (PKI) 的基础知识。
• 安全 OAuth 2.0 访问令牌：使用先进的 FAPI 兼容机制（如相互 TLS 和所有权证明演示 (DPoP)）保护您的令牌。
• 集成外部身份提供商：与合作伙伴、JWT 提供商和外部系统连接，以获得可扩展的身份解决方案。
• 与旧版和 SAML 系统连接：与旧版基础设施和 SAML 集成以进行分阶段迁移。
• 模拟真实场景：分析攻击者场景并探索多样化的项目架构。
• 做出明智的决策：使用决策树为安全架构选择最佳的 OAuth 流程和机制。

探索相关主题

要求

• 对 HTTP 概念的一般了解，例如方法（GET、POST）、标头和状态代码。
• 本课程专为初学者和高级学习者设计，因此不需要具备 OAuth 2.0 的先验知识。

描述

精通 OAuth 2.0：API 安全实用指南是您设计、实施和管理安全 API 基础架构的一站式资源。无论您是经验丰富的开发人员还是刚刚起步，本课程都提供全面、实用的方法来理解OAuth 2.0、OpenID Connect、基于令牌的身份验证等。在整个课程中，您将探索访问令牌、刷新令牌、JWT、SAML和其他尖端安全协议，以有效保护您的现代应用程序和服务。

您将了解何时以及如何应用本地令牌验证与令牌自省，如何在公共和机密客户端之间进行选择，以及如何定义适合您项目确切要求的可扩展 OAuth 范围。通过深入了解用户启动的流程（例如授权码流程、代码交换证明密钥 (PKCE)和隐式流程），您将牢牢掌握在实际场景中配置这些流程的方法。我们还将讨论高级主题，例如相互 TLS (mTLS)、高级客户端身份验证方法（包括 JWT 和 SAML 断言）、符合 FAPI 的令牌安全机制（例如所有权证明演示 (DPoP) ），甚至 PKI（公钥基础设施）基础知识，以支持基于安全证书的解决方案。

对于机器对机器通信，您将掌握客户端凭证流并学习如何集成外部身份提供者或遗留系统而不影响性能或安全性。

您将亲身体验 cURL 模拟、攻击者场景和决策树，从而轻松地将 OAuth 最佳实践映射到您的特定项目环境中。通过了解每章的详细议程并逐步应用核心概念，您将构建可扩展的强大API 安全策略——无论您是迁移旧系统还是启动新的零信任架构。

不要让流程、配置或集成方面的困惑阻碍您。立即注册，消除对OAuth 2.0的疑惑！

本课程适合哪些人：

• 软件工程师和开发人员：无论您是后端、前端还是全栈开发人员，本课程都将为您提供在项目中实施 OAuth 2.0 的实用技能。
• 解决方案架构师和技术主管：了解如何使用 OAuth 2.0 设计和集成安全应用程序架构，以满足不同的项目场景和需求。
• 安全专业人员：了解高级客户端身份验证方法和访问令牌安全机制，以增强 API 保护并符合零信任原则。
• 迁移遗留系统的 IT 专业人员：了解如何使用 OAuth 2.0 进行分阶段迁移并将遗留系统与现代安全协议集成。
• API 安全初学者：如果您不熟悉 OAuth 2.0 或 API 安全，本课程将全面、逐步介绍核心概念和实际实施。
• 与外部身份提供商合作的任何人都可以：深入了解 SAML 和 JWT 提供商等集成系统，尤其是在合规性驱动或合作伙伴集成的环境中。
• 本课程非常适合参与设计、实施或管理安全应用程序架构和 API 安全策略的任何人。无论您是初学者还是经验丰富的专业人士，本课程都将帮助您自信地将 OAuth 2.0 应用于实际场景。