تسلط به OAuth 2.0: راهنمای کاربردی برای امنیت API

معرفی
سرفصل

✅ سرفصل و جزئیات آموزش

OAuth 2.0 را با جریان های کاربردی، پیاده سازی ها، موارد استفاده در دنیای واقعی و تصمیم گیری برای معماری های API قوی یاد بگیرید.

آنچه یاد خواهید گرفت:

یادگیری انواع و فرمت‌های توکن OAuth 2.0: بررسی توکن‌های دسترسی، توکن‌های رفرش، JWT و توکن‌های opaque برای تأمین امنیت API‌های مدرن
درک متدهای اعتبارسنجی توکن: کشف زمان استفاده از اعتبارسنجی محلی یا بررسی توکن برای تأیید امن و کارآمد توکن
انتخاب نوع کلاینت OAuth مناسب: یادگیری زمان استفاده از کلاینت‌های عمومی یا محرمانه
تعریف و ساختاردهی دامنه‌های OAuth: یادگیری نام‌گذاری و ساختار دامنه‌های OAuth برای کنترل دسترسی دقیق و مؤثر به API
کسب اطلاعات پایه در مورد OIDC: درک چگونگی گسترش OpenID Connect بر روی OAuth برای احراز هویت کاربر و ورود یکپارچه
تسلط به جریان‌های شروع‌ شده توسط کاربر: یادگیری جریان‌های ضمنی، کد اعتبارسنجی و جریان های PKCE برای احراز هویت امن کاربر
بررسی چالش‌های جریان: تجزیه و تحلیل آسیب‌پذیری‌ها همراه با سناریوهای واقعی هکرها و مدیریت آن‌ها به‌طور مؤثر
انتخاب بهترین جریان: استفاده از نمودارهای تصمیم‌گیری برای شناسایی جریان ایده‌آل OAuth برای نیازهای پروژه شما.
کشف مکانیزم‌های پیشرفته جریان: یادگیری JAR (درخواست مجوز تأمین شده با JWT)، JWE و PAR (درخواست مجوز فشار داده شده) برای تقویت امنیت OAuth 2.0.
پیاده‌سازی جریان‌های ماشین به ماشین: یادگیری Client Credentials Flow برای ارتباط امن سرویس بک اند
درک جریان‌های ROPC و کد دستگاه: کشف جریان‌هایی مانند اعتبارنامه‌های رمز عبور مالک منبع و کد دستگاه (Resource Owner Password Credentials and Device Code) برای مالک منابع و دستگاه‌های با ورودی محدود
تسلط به متدهای احراز هویت کلاینت پیشرفته: استفاده از JWT ،SAML و X.509 mTLS برای امنیت قوی API
یادگیری اصول mTLS X.509: ایجاد دانش پایه‌ای درباره TLS متقابل، گواهینامه های X.509 و زیرساخت کلید عمومی (PKI)
تأمین امنیت توکن‌های دسترسی OAuth 2.0: محافظت از توکن‌های خود با مکانیزم‌های پیشرفته سازگار با FAPI مانند TLS متقابل و نمایش اثبات مالکیت (DPoP).
ادغام با ارائه‌دهندگان هویت خارجی: ارتباط با partners، ارائه‌دهندگان JWT و سیستم‌های خارجی برای راه‌حل‌های هویت مقیاس‌پذیر
اتصال به سیستم‌های قدیمی و SAML: ادغام با زیرساخت‌های قدیمی و SAML برای مهاجرت‌های مرحله‌ای
شبیه‌سازی سناریوهای دنیای واقعی: تجزیه و تحلیل سناریوهای مهاجم و بررسی معماری‌های مختلف پروژه
انجام تصمیم‌گیری‌های آگاهانه: استفاده از نمودارهای تصمیم‌گیری برای انتخاب بهترین جریان‌ها و مکانیزم‌های OAuth برای معماری‌های امن

پیش نیازهای دوره

درک کلی از مفاهیم HTTP، مانند متدها (GET، POST)، هدرها و کدهای وضعیت
این دوره برای هر دو گروه مبتدی و پیشرفته طراحی شده است، بنابراین به دانش قبلی از OAuth 2.0 نیاز نیست.

توضیحات دوره

تسلط به OAuth 2.0: راهنمای کاربردی برای امنیت API منبع جامع شما برای طراحی، پیاده‌سازی و مدیریت زیرساخت‌های امن API است. چه شما یک توسعه‌دهنده با تجربه باشید و چه تازه‌کار، این دوره رویکردی جامع و کاربردی به درکOAuth 2.0 OpenID Connect، احراز هویت مبتنی بر توکن و غیره ارائه می‌دهد. در طول دوره، شما توکن‌های دسترسی، توکن‌های رفرش و JWT ،SAML و پروتکل‌های امنیتی روز دنیا را بررسی خواهید کرد تا به‌طور مؤثر اپلیکیشن ها و سرویس های مدرن خود را تأمین کنید.

شما خواهید آموخت چه زمانی و چگونه از اعتبارسنجی محلی توکن در مقابل بررسی توکن استفاده کنید، چگونه بین کلاینت‌های عمومی و محرمانه انتخاب کنید و چگونه دامنه‌های OAuth مقیاس‌پذیر را تعریف کنید که مطابق با نیازهای دقیق پروژه شما باشد. با پوشش عمیق از جریان‌های شروع‌ شده توسط کاربر مانند جریان کد اعتبارسنجی، Proof Key for Code Exchange (PKCE) و جریان ضمنی شما درک محکمی از پیکربندی این جریان‌ها در سناریوهای دنیای واقعی به‌دست خواهید آورد. همچنین به مباحث پیشرفته‌ای مانند TLS متقابل (mTLS)، متدهای احراز هویت کلاینت پیشرفته (از جمله JWT و SAML assertions) و مکانیزم‌های امنیت توکن سازگار با FAPI مانند اثبات مالکیت (DPoP)، و حتی مقدمات زیرساخت کلید عمومی (PKI) برای پشتیبانی از راه‌حل‌های مبتنی بر گواهینامه امن خواهیم پرداخت.

برای ارتباط ماشین به ماشین، شما بر روی جریان اعتبارنامه کلاینت (Client Credentials Flow) تسلط پیدا خواهید کرد و یاد خواهید گرفت چگونه با ارائه‌دهندگان هویت خارجی یا سیستم‌های قدیمی ادغام کنید بدون اینکه از عملکرد یا امنیت کاسته شود.

شما با شبیه‌سازی‌های عملی cURL، سناریوهای مهاجمی و نمودارهای تصمیم‌گیری که به آسانی بهترین شیوه‌های OAuth را به محیط پروژه خاص شما تطبیق می‌دهند، خواهید گذشت. با درک جزئیات برنامه‌ در هر فصل و اعمال مفاهیم اصلی گام به گام، چه شما در حال مهاجرت یک سیستم قدیمی باشید و چه در حال راه‌اندازی یک معماری صفر اعتمادی جدید شما استراتژی‌های امن API قدرتمندی که مقیاس‌پذیر هستند خواهید ساخت.

اجازه ندهید ابهام در مورد جریان‌ها، پیکربندی‌ها یا ادغام‌ها شما را متوقف کند. همین حالا در دوره شرکت کنید و حدس و گمان را از OAuth 2.0 از بین ببرید.

این دوره برای چه کسانی مناسب است؟

مهندسان نرم‌افزار و توسعه‌دهندگان: چه شما یک توسعه‌دهنده بک اند، فرانت اند یا فول استک باشید، این دوره مهارت‌های عملی لازم برای پیاده‌سازی OAuth 2.0 در پروژه‌های شما را فراهم می‌کند.
معماران راه‌حل و رهبران فناوری: یاد بگیرید چگونه معماری‌های امن اپلیکیشن را با استفاده از OAuth 2.0 برای سناریوها و نیازهای متنوع پروژه طراحی و ادغام کنید.
متخصصان امنیت: متدهای احراز هویت کلاینت پیشرفته و مکانیزم‌های امنیت توکن دسترسی را درک کنید تا حفاظت API را افزایش داده و با اصول zero-trust هماهنگ کنید.
متخصصان IT که در حال مهاجرت سیستم‌های قدیمی هستند: کشف کنید که چگونه می‌توان از OAuth 2.0 برای مهاجرت‌های مرحله‌ای و ادغام سیستم‌های قدیمی با پروتکل‌های امنیت مدرن استفاده کرد.
مبتدیان در امنیت API: اگر شما با OAuth 2.0 یا امنیت API آشنا نیستید، این دوره یک معرفی جامع و گام به گام به مفاهیم اصلی و پیاده‌سازی عملی ارائه خواهد داد.
هر کسی که با ارائه‌دهندگان هویت خارجی کار می‌کند: بینش‌هایی درباره ادغام سیستم‌هایی مانند SAML و ارائه‌دهندگان JWT به‌ویژه در محیط‌های مبتنی بر الزامات مطابقت یا ادغام با پارتنرها به‌دست آورید.
این دوره برای هر کسی ایده‌آل است که در طراحی، پیاده‌سازی یا مدیریت معماری‌های امن اپلیکیشن و استراتژی‌های امنیت API درگیر است. چه شما یک مبتدی باشید یا یک حرفه‌ای با تجربه، این دوره به شما کمک می‌کند تا با اطمینان OAuth 2.0 را به سناریوهای واقعی اعمال کنید.

تسلط به OAuth 2.0: راهنمای کاربردی برای امنیت API

فصل 1: مقدمه دوره: تسلط به OAuth 2.0 از مبانی تا پیشرفته

برنامه و ساختار دوره 04:29
توصیه‌هایی برای حداکثرسازی تجربه یادگیری شما 01:42

فصل 2: مبانی OAuth 2.0

مقدمه و برنامه برای مبانی OAuth 2.0 03:32
چرا OAuth 2.0 ضروری است؟ - یک داستان کاربردی 03:54
درک جریان استاندارد OAuth 2.0 از طریق یک سناریوی دنیای واقعی 05:18
درک نقش‌های OAuth 2.0 02:41
دموی OAuth 2.0: اپلیکیشن دنیای واقعی با Photopea و OneDrive 05:34
مبانی OAuth 2.0: درک جریان‌ها، نقش‌ها و سناریوهای دنیای واقعی None
درک انواع کلاینت‌های OAuth 2.0: کلاینت‌های عمومی در مقابل Confidential 03:28
اسکوپ های OAuth 2.0: کنترل دسترسی به API و مجوزها (قسمت 1) 03:03
اسکوپ های OAuth 2.0: ساختاردهی و نام‌گذاری برای استفاده‌پذیری API (قسمت 2) 03:13
اسکوپ های OAuth 2.0: استراتژی‌های مؤثر دامنه (قسمت 3) 04:34
مسلط شدن بر انواع کلاینت و دامنه‌های OAuth2 None
درک OAuth 2.0: توکن دسترسی در مقابل توکن رفرش 04:47
توضیح فرمت‌های توکن OAuth 2.0: بررسی Opaque در مقابل JWT (قسمت 1) 06:01
مروری بر فرمت‌های توکن OAuth 2.0: بررسی Opaque در مقابل JWT (قسمت 2) 02:11
اعتبارسنجی توکن OAuth 2.0: توضیح بررسی در زمان واقعی (قسمت 1) 02:35
اعتبارسنجی توکن OAuth 2.0: تأیید محلی توکن JWT (قسمت 2) 06:12
اعتبارسنجی توکن OAuth 2.0: انتخاب بهترین رویکرد (قسمت 3) 03:29
آشنایی با OpenID Connect (OIDC) و مقایسه با OAuth 2.0 03:23
OIDC در عمل: جریان کاربردی و احراز هویت کاربر 02:06
دموی مثال کاربردی دنیای واقعی: احراز هویت OIDC با Photopea 01:26
تسلط به توکن‌های OAuth2، اعتبارسنجی و OpenID Connect None

فصل 3: جریان‌های OAuth 2.0 شروع‌شده توسط کاربر: تأیید امن برای وب اپلکیشن ها و اپلکیشن های موبایل

برنامه: مرور اجمالی جریان‌های OAuth 2.0 شروع‌شده توسط کاربر 02:38
درک جریان ضمنی OAuth 2.0: راهنمای گام به گام 05:02
جریان ضمنی OAuth 2.0: سناریو هکر و چالش‌های امنیتی 02:50
درک جریان کد تأیید OAuth 2.0: راهنمای گام به گام 05:24
جریان کد تأیید OAuth 2.0: سناریوهای هکر و چالش‌های امنیتی 04:45
درک جریان PKCE OAuth 2.0: راهنمای گام به گام 03:55
جریان PKCE OAuth 2.0: سناریوهای هکر و بهبودهای امنیتی 02:20
مروری بر جریان‌های OAuth 2.0 شروع‌شده توسط کاربر و نمودار تصمیم‌گیری 04:14
جریان‌های OAuth 2.0 شروع‌شده توسط کاربر None

فصل 4: امنیت پیشرفته برای جریان‌های OAuth 2.0 شروع‌شده توسط کاربر

برنامه: اکستنشن های امنیتی پیشرفته برای جریان‌های OAuth 2.0 شروع‌شده توسط کاربر 02:02
جریان‌های OAuth 2.0 شروع‌شده توسط کاربر: سناریوی هکر و خطرات درخواست مجوز 02:31
درک درخواست مجوز ایمن با JWT (JAR) در OAuth 2.0 03:47
محدودیت JAR: سناریو هکر و چالش‌های امنیتی 01:20
توضیح رمزنگاری نامتقارن: اطمینان از محرمانگی در OAuth 2.0 01:35
تقویت امنیت OAuth 2.0 با JWE: محرمانگی (Confidentiality) در درخواست‌های مجوز 03:57
درخواست‌های مجوز Push شده OAuth 2.0 (PAR): ساده و امن 03:18
ترکیب اکستنشن های امنیتی OAuth 2.0 : بررسی PAR ،JAR و JWE 02:14
اکستنشن های امنیتی OAuth 2.0: بررسی Recap، موارد استفاده و درخت تصمیم‌گیری 07:14
امنیت پیشرفته برای جریان‌های OAuth 2.0 شروع‌شده توسط کاربر None

فصل 5: درک جریان ROPC OAuth 2.0: خطرات و زمان استفاده

بررسی جریان ROPC OAuth 2.0: موارد استفاده و خطرات 03:51
جریان اعتبارنامه‌های رمز عبور مالک منبع (ROPC) None

فصل 6: OAuth 2.0 ماشین به ماشین (M2M): تسلط به جریان اعتبارنامه کلاینت

تسلط به جریان اعتبارنامه‌های کلاینت OAuth 2.0: موارد استفاده و نمودار تصمیم‌گیری 04:06
تسلط به جریان اعتبارنامه‌های کلاینت OAuth 2.0 None

فصل 7: تسلط به جریان کد دستگاه OAuth 2.0 برای دستگاه‌های با ورودی محدود

درک جریان کد دستگاه OAuth 2.0: راهنمای گام به گام 04:04
درک جریان کد دستگاه OAuth 2.0 None

فصل 8: ادغام با ارائه‌دهندگان هویت خارجی با OAuth 2.0 با استفاده از JWT و SAML

آشنایی با جریان‌های OAuth 2.0 Assertion - بررسی JWT و SAML 02:02
بررسی جریان OAuth 2.0 JWT Bearer Assertion 02:06
درک جریان OAuth 2.0 SAML Bearer Assertion 01:45
جریان‌های OAuth 2.0 Assertion: موارد استفاده برای ادغام JWT و SAML 03:54
ادغام با ارائه‌دهندگان هویت خارجی با OAuth 2.0: بررسی Assertion های JWT و SAML None