本书旨在向读者介绍API安全的重要性，以及可用于保护API的手段。通过全流程的讲解和指导，与读者分享对API进行更安全设计的最佳实践，并在介绍概念和理论的基础上，进一步通过具体实例对其加以阐释。前半部分介绍从传统的HTTP基本认证到OAuth 2.0协议，据此深入讲解了用于保护API的多种技术，以及基于OAuth协议功能构建的上层协议，比如OpenID Connect协议、用户管理访问协议等。后半部分将详细介绍基于JSON格式的Web加密（JWE）和基于JSON格式的Web签名（JWS）两种技术。目前开发的大部分API仅支持JSON格式而不支持XML格式。在本书中，我们将重点关注JSON安全。
本书适合对API设计的最佳实践感兴趣的企业安全架构师作为参考，也适合正在构建企业API并与内部和外部应用集成的开发人员阅读。

普拉巴斯·西里瓦德纳，普拉巴斯是身份认证领域的技术传播者、作家和博主，也是WSO2公司负责身份管理与安全方面工作的副总裁，在为一些知名跨国企业设计和构建关键的身份认证与访问管理基础架构方面拥有超过12年的从业经验。作为一名技术传播者，普拉巴斯先后出版了7本专业书籍，并针对从区块链、PSD2、GDPR、IAM到微服务安全的多个主题发表博客文章，同时还负责一个YouTube频道的运维工作。普拉巴斯曾在很多会议上发表演讲，包括RSA会议、KNOW ldentity会议、ldentiverse会议、欧洲身份认证会议、美国世界用户身份认证会议、API World大会、APl策略与实践会议、QCon大会、OSCON大会和WSO2Con大会等。作为硅谷IAM用户组（旧金山湾区最大的IAM社区）的创始人，他曾在世界各地举办宣传IAM社区的研讨会。

前言
致谢
作者简介
第1章 API就是一切
1.1 API经济
1.1.1 实例
1.1.2 商业模式
1.2 API发展历程
1.3 API管理
1.4 API在微服务中的作用
1.5 总结
第2章 API设计安全
2.1 三重困境
2.2 设计挑战
2.3 设计原则
2.4 安全三要素
2.5 安全控制
2.6 总结
第3章 利用TLS协议保护API
3.1 搭建环境
3.2 部署订单API
3.3 利用TLS协议保护订单API
3.4 利用相互TLS协议保护订单API
3.5 在Docker容器中运行OpenSSL
3.6 总结
第4章 OAuth 2.0协议基础
4.1 OAuth 2.0协议简介
4.2 OAuth 2.0协议参与者
4.3 授权模式
4.4 OAuth 2.0协议令牌类型
4.5 OAuth 2.0协议客户类型
4.6 JWT保护的授权请求
……
第5章 API网关边际安全
第6章 OpenID Connect协议
第7章 利用JSON Web签名实现消息级安全
第8章 利用JSON Web加密实现消息级安全
第9章 OAuth 2.0协议配置
第10章 通过本地移动应用访问API
第11章 OAuth 2.0协议令牌绑定
第12章 API联合访问
第13章 用户管理访问
第14章 OAuth 2.0协议安全
第15章 模式与实践
附录