보안문제해결
현재 사용자 께서는 로봇에 의한 과도한 접속으로 판단되어 제한된 정보만 보여지고 있습니다.

모든 정보를 이용하시려면 아래 보안문자를 입력해 주세요.
captcha-img
문제해결에 어려움이 있다면? badatime2@gmail.com
logo
logo
x
바코드검색
BOOKPRICE.co.kr
책, 도서 가격비교 사이트
바코드검색

인기 검색어

실시간 검색어

검색가능 서점

알라딘
교보문고
yes24
영풍문고
쿠팡
G마켓
11번가

도서목록 제공

OAuth 2 in Action

OAuth 2 in Action

(OAuth 아키텍처에 대한 모든 것)

저스틴 리처, 안토니오 산소 (지은이), 윤우빈 (옮긴이)
에이콘출판
36,000원

일반도서

검색중
서점 할인가 할인률 배송비 혜택/추가 실질최저가 구매하기
G마켓 32,400원 -10% 0원
0원
 32,400원 >
알라딘 로딩중
yes24 로딩중
교보문고 로딩중
11st 로딩중
영풍문고 로딩중
쿠팡 로딩중
쿠팡로켓 로딩중
G마켓 로딩중
notice_icon 검색 결과 내에 다른 책이 포함되어 있을 수 있습니다.

중고도서

검색중
서점 유형 등록개수 최저가 구매하기
로딩중

eBook

검색중
서점 정가 할인가 마일리지 실질최저가 구매하기
로딩중
책 정보
책 소개
목차
저자소개
리뷰
책속에서
추천도서

책 이미지

OAuth 2 in Action
eBook 미리보기

책 정보

· 제목 : OAuth 2 in Action (OAuth 아키텍처에 대한 모든 것)
· 분류 : 국내도서 > 컴퓨터/모바일 > OS/Networking > 네트워크 보안/해킹
· ISBN : 9791161751450
· 쪽수 : 484쪽
· 출판일 : 2018-04-17

책 소개

OAuth 2.0의 개요과 구성 요소, 구성 요소 간의 상호 작용 그리고 구현 방법에 대해 알려준다. OAuth 2.0은 서비스 사용자가 애플리케이션에게 모든 권한을 넘기지 않고 사용자 대신 서비스를 이용할 수 있게 해주는 HTTP 기반의 보안 프로토콜이다.

목차

1부. 첫 번째 단계

1장. OAuth 2.0이 무엇이고, 왜 관심을 가져야 할까?
__1.1 OAuth 2.0은 무엇인가?
__1.2 과거: 자격 증명 공유(그리고 자격 증명 탈취)
__1.3 접근 권한 위임
____1.3.1 HTTP Basic과 비밀번호 공유 방식을 넘어
____1.3.2 권한 위임: 중요성과 사용 방법
____1.3.3 사용자 주도 보안과 사용자 선택
__1.4 OAuth 2.0: 좋은 점과 나쁜 점
__1.5 OAuth 2.0이 아닌 것
__1.6 요약

2장. OAuth 2.0의 기본
__2.1 OAuth 2.0 프로토콜의 개요: 토큰 획득과 사용
__2.2 OAuth 2.0 인가 그랜트
__2.3 OAuth의 구성원: 클라이언트, 인가 서버, 리소스 소유자 그리고 보호된 리소스
__2.4 OAuth의 구성 요소: 토큰, 범위 그리고 인가 그랜트
____2.4.1 액세스 토큰
____2.4.2 범위
____2.4.3 리프레시 토큰
____2.4.4 인가 그랜트
__2.5 OAuth의 구성원과 구성 요소 간의 상호 작용: 백 채널, 프런트 채널 그리고 엔드 포인트
____2.5.1 백 채널 통신
____2.5.2 프런트 채널 통신
__2.6 요약

2부. OAuth 2 환경 구축

3장. 간단한 OAuth 클라이언트
__3.1 인가 서버에 OAuth 클라이언트 등록
__3.2 인가 코드 그랜트 타입을 이용해 토큰 얻기
____3.2.1 인가 요청 보내기
____3.2.2 인가 요청에 대한 응답 처리
____3.2.3 크로스 사이트 공격을 방지하기 위한 state 파라미터 추가
__3.3 보호된 리소스에 접근하기 위한 토큰 사용
__3.4 액세스 토큰 갱신
__3.5 요약

4장. 간단한 OAuth 리소스 서버
__4.1 HTTP 요청에서 OAuth 토큰 파싱
__4.2 액세스 토큰의 유효성 확인
__4.3 토큰에 기반한 콘텐츠 제공
____4.3.1 권한 범위에 따른 작업
____4.3.2 권한 범위에 따른 데이터 반환
____4.3.3 사용자에 따른 데이터 반환
____4.3.4 추가 접근 통제
__4.4 요약

5장. 간단한 OAuth 인가 서버
__5.1 OAuth 클라이언트 등록 관리
__5.2 클라이언트 인가
____5.2.1 인가 엔드 포인트
____5.2.2 클라이언트 인가
__5.3 토큰 발급
____5.3.1 클라이언트 인증
____5.3.2 인가 그랜트 요청 처리
__5.4 리프레시 토큰 지원
__5.5 권한 범위 지원
__5.6 요약

6장. 현실 세계의 OAuth 2.0
__6.1 인가 그랜트 타입
____6.1.1 암시적 그랜트 타입
____6.1.2 클라이언트 자격 증명 그랜트 타입
____6.1.3 리소스 소유자 자격 증명 그랜트 타입
____6.1.4 어설션 그랜트 타입
____6.1.5 올바른 그랜트 타입 선택
__6.2 클라이언트 배포
____6.2.1 웹 애플리케이션
____6.2.2 웹 브라우저 애플리케이션
____6.2.3 네이티브 애플리케이션
____6.2.4 클라이언트 시크릿 관리
__6.3 요약

3부. OAuth 2.0 구현과 보안 취약점

7장. 일반적인 클라이언트 보안 취약점
__7.1 일반적인 클라이언트 보안
__7.2 클라이언트에 대한 CSRF 공격
__7.3 클라이언트 자격 증명 탈취
__7.4 리다이렉트 URI 등록
____7.4.1 레퍼러를 통한 인가 코드 탈취
____7.4.2 오픈 리다이렉터를 통한 토큰 탈취
__7.5 인가 코드 탈취
__7.6 토큰 탈취
__7.7 네이티브 애플리케이션 모범 사례
__7.8 요약

8장. 일반적인 보호된 리소스 보안 취약점
__8.1 보호된 리소스의 보안 취약점
__8.2 보호된 리소스의 엔드 포인트 설계
____8.2.1 리소스 엔드 포인트를 보호하는 방법
____8.2.2 암시적 그랜트 지원 추가
__8.3 토큰 재전송
__8.4 요약

9장. 일반적인 인가 서버 보안 취약점
__9.1 일반적인 보안
__9.2 세션 가로채기
__9.3 리다이렉트 URI 조작
__9.4 클라이언트 가장 impersonation
__9.5 픈 리다이렉터
__9.6 요약

10장. 일반적인 OAuth 토큰 보안 취약점
__10.1 Bearer 토큰
__10.2 Bearer 토큰 사용에 있어서의 위험과 고려 사항
__10.3 토큰 보호 방법 ____10.3.1 클라이언트에서 탈취
____10.3.2 인가 서버에서 탈취
____10.3.3 보호된 리소스에서 탈취
__10.4 인가 코드
____10.4.1 Proof Key for Code Exchange(PKCE)
__10.5 요약

4부. OAuth에 대한 더 많은 것

11장. OAuth 토큰

__11.1 OAuth 토큰이 무엇인가?
__11.2 구조화된 토큰: JSON Web Token
____11.2.1 JWT의 구조
____11.2.2 JWT 클레임
____11.2.3 서버에서의 JWT 구현
__11.3 암호화를 통한 토큰 보호: JOSE
____11.3.1 HS256를 이용한 대칭 시그니처
____11.3.2 RS256을 이용한 비대칭 시그니처
____11.3.3 다른 토큰 보호 방법
__11.4 온라인으로 토큰의 정보를 조회: 토큰 인트로스펙션
____11.4.1 인트로스펙션 프로토콜
____11.4.2 인트로스펙션 엔드 포인트
____11.4.3 인트로스펙션 토큰
____11.4.4 인트로스펙션과 JWT의 결합
__11.5 토큰 폐기로 토큰의 라이프사이클 관리
____11.5.1 토큰 폐기 프로토콜
____11.5.2 폐기 엔드 포인트 구현
____11.5.3 토큰 폐기
__11.6 OAuth 토큰 라이프사이클
__11.7 요약

12장. 클라이언트 동적 등록
__12.1 서버가 클라이언트를 식별하는 방법
__12.2 실시간으로 클라이언트 등록
____12.2.1 동작 방식
____12.2.2 왜 동적 등록을 사용하는가?
____12.2.3 등록 엔드 포인트의 구현
____12.2.4 클라이언트 등록
__12.3 클라이언트 메타 데이터
____12.3.1 핵심적인 클라이언트 메타 데이터 필드 이름 테이블
____12.3.2 사람이 읽을 수 있는 클라이언트 메타 데이터의 국제화
____12.3.3 소프트웨어 명세서
__12.4 동적으로 등록된 클라이언트의 관리
____12.4.1 관리 프로토콜의 동작 방식
____12.4.2 동적 클라이언트 등록 관리 API 구현
__12.5 요약

13장. OAuth 2.0에서의 사용자 인증
__13.1 OAuth 2.0이 인증 프로토콜이 아닌 이유
____13.1.1 인증 vs. 인가
__13.2 OAuth를 인증 프로토콜로 매핑
__13.3 OAuth 2.0 인증 방법
__13.4 인증을 위해 OAuth 2.0을 사용하는 데 있어서의 일반적인 함정
____13.4.1 인증의 증거로서의 액세스 토큰
____13.4.2 인증의 증거로서의 보호된 API에 대한 접근
____13.4.3 액세스 토큰 삽입 3
____13.4.4 수신자 제한의 결여
____13.4.5 잘못된 사용자 정보 삽입
____13.4.6 식별 제공자마다 다른 프로토콜 사용
__13.5 OpenID 커넥트: OAuth 2.0 기반의 인증과 식별 표준
____13.5.1 ID 토큰 ____13.5.2 UserInfo 엔드 포인트
____13.5.3 동적 서버 발견과 클라이언트 등록
____13.5.4 OAuth 2.0과의 호환성
____13.5.5 고급 기능 __13.6 간단한 OpenID 커넥트 시스템 구축
____13.6.1 ID 토큰 생성
____13.6.2 UserInfo 엔드 포인트
____13.6.3 ID 토큰 파싱
____13.6.4 UserInfo 가져오기
__13.7 요약

14장. OAuth 2.0을 이용하는 프로토콜과 프로파일
__14.1 UMA
____14.1.1 UMA가 중요한 이유
____14.1.2 UMA 프로토콜의 동작 방식
__14.2 HEART
____14.2.1 HEART가 중요한 이유
____14.2.2 HEART 스펙
____14.2.3 역학적인 HEART 프로파일
____14.2.4 의미론적 HEART 프로파일
__14.3 iGov
____14.3.1 iGov가 중요한 이유
____14.3.2 iGov의 미래
__14.4 요약

15장. 그 외 토큰들
__15.1 왜 Bearer 이외의 토큰이 필요할까?
__15.2 PoPProof of Possession 토큰
____15.2.1 PoP 토큰 요청과 발급
____15.2.2 보호된 리소스에 대한 PoP 토큰의 사용
____15.2.3 PoP 토큰 검증
__15.3 PoP 토큰 지원을 위한 구현
____15.3.1 토큰과 키 발급
____15.3.2 서명된 헤더 생성과 전달
____15.3.3 헤더 파싱, 토큰 인트로스펙션, 시그니처 검증
__15.4 TLS 토큰 바인딩
__15.5 요약

16장. 요약과 결론
__16.1 올바른 도구
__16.2 주요 의사 결정
__16.3 더 큰 생태계
__16.4 커뮤니티
__16.5 미래
__16.6 요약

부록 A. 이 책에서 사용하는 코드 프레임워크
__A.1 코드 프레임워크 소개
부록 B. 확장 코드 목록

저자소개

저스틴 리처 (지은이)    정보 더보기
인터넷 보안과 식별, 협업, 사용성, 게임을 포함한 다양한 영역에서 17년 이상의 경력을 가진 시스템 아키텍트이자 소프트웨어 엔지니어, 표준 편집자이면서 서비스 설계자다. IETF(Internet Engineering Task Force)와 OIDF(OpenID Foundation)에서 활발히 활동하고 있으며, OAuth 2.0과 OpenID 커넥트 1.0을 포함한 기본적인 보안 프로토콜(RFC7591 & RFC7592)에 직접적으로 기여해왔고 OAuth 2.0 동적 클라이언트 등록()과 토큰 인트로스펙션(RFC7662)을 포함한 여러 개의 확장 스펙을 작성해왔다. Vectors of Trust와 NIST의 디지털 식별 가이드라인 제3판(Special Publication 800-63)에 대한 선구적인 작업은 예측할 수 없는 환경에서 신뢰할 수 있는 신원이 의미하는 것이 무엇인지에 대한 논의를 이끌어냈다. 엔터프라이즈에 초점을 맞춰 OAuth 2.0과 OpenID 커넥트를 구현한 MITREid Connect를 처음으로 오픈소스 형태로 만들어 유지 보수하고 있으며, MITRE와 MIT를 포함한 많은 단체에서 시스템 배포를 주도해왔다. 재능이 많으며 자신감 넘치는 발표자로서 기술적인 능력이 있는 청중을 대상으로 한 세계적인 컨퍼런스의 위원이나 기조 연설자로서 인기가 많다. 오픈소스와 오픈 표준의 열렬한 지지자며, 아직 솔루션이 만들어지지 않은 상태라고 하더라도 결국 올바른 솔루션이 있으면 어려운 문제를 해결할 수 있다고 믿는다.
펼치기
안토니오 산소 (지은이)    정보 더보기
보안 팀에 속해 있다. 그 전에는 아일랜드에 있는 IBM 더블린 소프트웨어 연구소(IBM Dublin Software Lab)에서 소프트웨어 엔지니어로 일했다. OpenSSL, 구글 크롬, 애플 사파리와 같은 유명한 소프트웨어의 보안 취약점들을 발견했으며, 구글(Google), 페이스북(Facebook), 마이크로소프트(Microsoft), 페이팔(Paypal), 깃허브(Github)의 명예의 전당에 올라 있다. 열렬한 오픈소스 기여자며 Apache Oltu의 부사장(의장) 이자 Apache Sling의 PMC 멤버다. 그는 웹 애플리케이션 보안에서부터 암호화에 이르기까지 다양한 업무를 하고 있다. 또한 12개 이상의 컴퓨터 보안 특허와 암호화 학술 논문 저자기도 하다. 그는 컴퓨터 공학 석사 학위를 갖고 있다.
펼치기
윤우빈 (옮긴이)    정보 더보기
기존의 IT 기술과 새로 만들어지고 있는 최신 기술을 보안이라는 관점에서 이해하고 새로운 기술, 비즈니스 영역의 새로운 보안 위협과 그에 대한 대응 기술을 고민하며, 에이콘출판사를 통해 다양한 보안 관련 지식을 공유하고자 노력하고 있다. 지금도 여전히 새로운 분야에 대한 보안 기술 연구와 다양한 보안 기술 개발을 위해 진땀 흘리고 있다.
펼치기

추천도서

분야의 베스트셀러 >
박태웅의 AI 강의 2025 - 인공지능의 출현부터 일상으로의 침투까지 우리와 미래를 함께할 새로운 지능의 모든 것
박태웅의 AI 강의 2025 - 인공지능의 출현부터 일상으로의 침투까지 우리와 미래를 함께할 새로운 지능의 모든 것
박태웅
하루 30분! 돈이 되는 네이버 블로그 with 챗GPT - 생성형 AI ChatGPT로 해결하는 키워드, 브랜딩, 포스팅 전략
하루 30분! 돈이 되는 네이버 블로그 with 챗GPT - 생성형 AI ChatGPT로 해결하는 키워드, 브랜딩, 포스팅 전략
조병옥(호모앤)
Do it! LLM을 활용한 AI 에이전트 개발 입문 - GPT API+딥시크+라마+랭체인+랭그래프+RAG
Do it! LLM을 활용한 AI 에이전트 개발 입문 - GPT API+딥시크+라마+랭체인+랭그래프+RAG
이성용
숏폼 영상 편집 제작 및 수익 창출 with 캡컷·생성형 AI - 유튜브 쇼츠부터 틱톡, 릴스, 생성형 AI까지!, 2판
숏폼 영상 편집 제작 및 수익 창출 with 캡컷·생성형 AI - 유튜브 쇼츠부터 틱톡, 릴스, 생성형 AI까지!, 2판
채수창
AI 에이전트 트렌드 & 활용백과
AI 에이전트 트렌드 & 활용백과
김덕진, 김아람
분야의 신간도서 >
의료 인공지능
의료 인공지능
윤규백
아두이노 배우고 드론 코딩하고 날리기
아두이노 배우고 드론 코딩하고 날리기
박준원, 장문철
퀵패스 AI 프롬프트 활용능력 2급 실전모의고사 - 한국생산성본부(KPC) 공식 인증 교재|AI 프롬프트 활용능력 2급 시험 대비 | AI시대 필수 자격증 | 제1판
퀵패스 AI 프롬프트 활용능력 2급 실전모의고사 - 한국생산성본부(KPC) 공식 인증 교재|AI 프롬프트 활용능력 2급 시험 대비 | AI시대 필수 자격증 | 제1판
임호용, 김태영, 김수연
디자인 트렌드 아카이브 포토샵 - 트렌디한 효과부터 최신 AI 기능까지 디자인 실무 감각 트레이닝
디자인 트렌드 아카이브 포토샵 - 트렌디한 효과부터 최신 AI 기능까지 디자인 실무 감각 트레이닝
김혜주
인프라 엔지니어의 교과서 - IT 인프라 세계의 첫 길잡이, 개정 2판
인프라 엔지니어의 교과서 - IT 인프라 세계의 첫 길잡이, 개정 2판
사노 유타카 , 김성훈
이 포스팅은 쿠팡 파트너스 활동의 일환으로,
이에 따른 일정액의 수수료를 제공받습니다.
이 포스팅은 제휴마케팅이 포함된 광고로 커미션을 지급 받습니다.
도서 DB 제공 : 알라딘 서점(www.aladin.co.kr)
최근 본 책