Python全栈安全

我使用Python来讲授安全，而不是反过来。换句话说，当阅读《Python全栈安全》时，你将学到比Python更多的安全知识。这有两个原因：首先，安全很复杂，而Python并非如此。其次，编写大量自定义的安全代码不是保护系统的最佳方式；繁重的任务几乎总是应该委托给Python、库或工具。
《Python全栈安全》涵盖初中级安全概念。这些概念用初学者级别的Python代码实现，无论是安全还是Python的资料都非高级水平。
《Python全栈安全》读者对象
《Python全栈安全》中的所有示例都模拟了在现实世界中开发和保护系统的挑战。因此，将代码推送到生产环境的程序员将学到最多的知识。《Python全栈安全》要求读者具备初级Python技能或具有其他主要语言的中级经验。当然，你不一定非要成为一名Web开发人员才能从《Python全栈安全》中学到知识，但对Web的基本了解会让你更容易理解《Python全栈安全》的后半部分。
也许你不构建或维护系统，而是需要测试它们。如果是这样，你会对要测试的内容有更深入的理解，但我甚至不会尝试教你如何测试。如你所知，这是两套不同的技能。
与一些关于安全的书籍不同，这里的示例都非从攻击者的角度分析问题。因此，这帮人学到的知识最少。如果说对他们有什么安慰，那就是在个别章节里，他们可能真会学到有用的内容。
《Python全栈安全》的编排方式
《Python全栈安全》分为3部分。
第Ⅰ部分“密码学基础”用几个密码学概念奠定基础。这些概念在第Ⅱ部分和第Ⅲ部分中会反复出现。
● 第1章简要介绍安全标准、最佳实践和基本原则，进而设定预期。
● 第2章直接介绍使用散列和数据完整性的密码学。在此过程中，介绍在《Python全栈安全》中出现的一小群人物。
● 第3章介绍使用密钥生成和密钥散列进行数据身份验证。
● 第4章涵盖任何安全书籍的两个必备主题：对称加密和机密性。
● 第5章涵盖非对称加密、数字签名和不可否认性。
● 第6章结合前面几章中的许多主要思想，形成了泛在网络协议，即传输层安全(Transport Layer Security)。
第Ⅱ部分“身份验证和授权”包含《Python全栈安全》中最具商业价值的内容，特点是提供大量与安全相关的常见用户工作流程的实际操作说明。
● 第7章介绍HTTP会话管理和cookie，为后续章节中讨论的许多攻击做好准备。
● 第8章是关于身份的内容，介绍用户注册和用户身份验证的工作流程。
● 第9章介绍密码管理，也是最有趣的一章。内容在很大程度上建立在前几章的基础之上。
● 第10章通过另一个关于权限和组的工作流程从身份验证过渡到授权。
● 第11章以OAuth作为第Ⅱ部分的结束。OAuth是一种行业标准授权协议，旨在共享受保护的资源。
第Ⅲ部分“抵御攻击”可以说是《Python全栈安全》中最具敌意的部分，但更容易消化，也更令人兴奋。
● 第12章深入研究操作系统，主题包括文件系统、外部可执行文件和shell。
● 第13章教你如何使用各种输入验证策略防御大量的注入攻击。
● 第14章完全集中在最臭名昭著的注入攻击上，即跨站脚本。你可能已经预见到这一点。
● 第15章介绍内容安全策略。在某些方面，这可以被视为关于跨站脚本的附加章节。
● 第16章涉及跨站请求伪造。该章将前几章中的几个主题与REST最佳实践相结合。
● 第17章解释同源策略，以及为什么我们会不时地使用跨源资源共享来放宽这一策略。
● 第18章以关于点击劫持的内容和一些使你的技能保持最新的资源结束《Python全栈安全》的讨论。

主要内容
●加密、散列和数字签名。
●创建和安装TLS证书。
●在Django中实现身份验证、授权、OAuth 2.0和表单
验证。
防范点击劫持、跨站脚本和SQL注入等攻击。

Dennis Byrne 是23andMe 架构团队的成员，负责保护1000 多万客户
的基因数据和隐私。在23andMe 之前，Dennis 是LinkedIn 的软件工程师。
Dennis 是一名健美运动员和GUE 洞穴潜水员。他目前住在硅谷，远离阿
拉斯加(他在那里长大并求学)。

安全是一个全栈性问题，包括用户接口、API、Web服务器、网络基础设施等。通过掌握强大的库、框架以及Python生态系统中的工具，你可自上而下地保护自己的系统。本书列举大量实例，插图清晰，代码丰富，准确地告诉你如何保护基于Python的Web应用程序。
《Python全栈安全》由经验丰富的安全专家Dennis Byrne撰写，讲解保护Python和基于Django的Web应用程序所需的一切，解释安全术语，揭开算法的神秘面纱。
本书开篇清晰讲解加密基础知识，然后循序渐进地讲述如何实施多层防御、安全的用户身份验证、安全的第三方访问，分析如何保护应用程序免受常见黑客攻击。