Oauth 2 in Action

出版社 Manning Publications
発売日 2017/03/18
ページ数 360
ISBN-13 9781617293276
お届け日 通常 02月20日~02月27日

通常価格 ¥5,499

税込 配送料は購入手続き時に計算されます。



OAuth 2 in Action teaches you the practical use and deployment of this HTTP-based protocol from the perspectives of a client, authorization server, and resource server. You’ll learn how to confidently and securely build and deploy OAuth on both the client and server sides. Foreword by Ian Glazer.

Purchase of the print book includes a free eBook in PDF, Kindle, and ePub formats from Manning Publications.

About the Technology

Think of OAuth 2 as the web version of a valet key. It is an HTTP-based security protocol that allows users of a service to enable applications to use that service on their behalf without handing over full control. And OAuth is used everywhere, from Facebook and Google, to startups and cloud services.

About the Book

OAuth 2 in Action teaches you practical use and deployment of OAuth 2 from the perspectives of a client, an authorization server, and a resource server. You’ll begin with an overview of OAuth and its components and interactions. Next, you’ll get hands-on and build an OAuth client, an authorization server, and a protected resource. Then you’ll dig into tokens, dynamic client registration, and more advanced topics. By the end, you’ll be able to confidently and securely build and deploy OAuth on both the client and server sides.

What’s Inside

  • Covers OAuth 2 protocol and design
  • Authorization with OAuth 2
  • OpenID Connect and User-Managed Access
  • Implementation risks
  • JOSE, introspection, revocation, and registration
  • Protecting and accessing REST APIs

About the Reader

Readers need basic programming skills and knowledge of HTTP and JSON.

About the Author

Justin Richer is a systems architect and software engineer. Antonio Sanso is a security software engineer and a security researcher. Both authors contribute to open standards and open source.

Table of Contents

Part 1 - First steps

  1. What is OAuth 2.0 and why should you care?
  2. The OAuth dance

Part 2 - Building an OAuth 2 environment

  1. Building a simple OAuth client
  2. Building a simple OAuth protected resource
  3. Building a simple OAuth authorization server
  4. OAuth 2.0 in the real world

Part 3 - OAuth 2 implementation and vulnerabilities

  1. Common client vulnerabilities
  2. Common protected resources vulnerabilities
  3. Common authorization server vulnerabilities
  4. Common OAuth token vulnerabilities

Part 4 - Taking OAuth further

  1. OAuth tokens
  2. Dynamic client registration
  3. User authentication with OAuth 2.0
  4. Protocols and profiles using OAuth 2.0
  5. Beyond bearer tokens
  6. Summary and conclusions

DeepL 粗訳


OAuth 2 in Action では、クライアント、オーソリゼーション サーバー、およびリソース サーバーの観点から、この HTTP ベースのプロトコルの実用的な使用方法と展開方法を学びます。クライアント側とサーバー側の両方で OAuth を自信を持って安全に構築し、展開する方法を学びます。序文はIan Glazer氏。



OAuth 2 をバレットキーのウェブ版と考えてください。OAuthはHTTPベースのセキュリティプロトコルで、サービスのユーザーが、アプリケーションが完全な制御を渡さずに自分の代わりにそのサービスを使用できるようにすることを可能にします。そして、OAuthはFacebookやGoogleからスタートアップやクラウドサービスまで、あらゆるところで使われています。


OAuth 2 in Action は、クライアント、認証サーバー、およびリソース サーバーの観点から OAuth 2 の実用的な使用と展開を教えます。まず、OAuth の概要とそのコンポーネントおよび相互作用について説明します。次に、実践的に OAuth クライアント、認証サーバ、保護されたリソースを構築します。その後、トークン、動的クライアント登録、およびより高度なトピックを掘り下げていきます。最後には、クライアント側とサーバ側の両方で OAuth を自信を持って安全に構築し、配備できるようになります。


  • OAuth 2 プロトコルと設計
  • をカバーしています
  • OAuth 2 での認証
  • OpenID Connect とユーザー管理アクセス
  • 実装のリスク
  • JOSE.イントロスペクション、失効、登録
  • REST APIの保護とアクセス




Justin Richer はシステムアーキテクトであり、ソフトウェアエンジニアです。 Antonio Sanso はセキュリティ ソフトウェア エンジニアであり、セキュリティ研究者です。どちらの著者も、オープン スタンダードとオープン ソースに貢献しています。


パート 1 - はじめに

  1. OAuth 2.0 とは何か、なぜ気にする必要があるのか。
  2. OAuth ダンス

パート 2 - OAuth 2 環境の構築

  1. 単純な OAuth クライアントを構築する
  2. 単純な OAuth 保護されたリソースを構築する
  3. 単純な OAuth 認証サーバーを構築する
  4. 現実世界での OAuth 2.0。0 の実世界における

パート 3 - OAuth 2 の実装と脆弱性

  1. 共通のクライアントの脆弱性
  2. 共通の保護されたリソースの脆弱性
  3. 共通の認可サーバーの脆弱性
  4. 共通の OAuth トークンの脆弱性

パート 4 - OAuth 2.OAuth をさらに進化させる

  1. OAuth トークン
  2. 動的クライアント登録
  3. OAuth 2.0 を使用したユーザー認証
  4. 。0
  5. OAuth 2.0 を使用したプロトコルとプロファイル
  6. ベアラートークンを超えて
  7. まとめと結論