安全和网络开发[ Auth0 Docs 在几分钟内实现认证](https://auth0.com/docs) OAuth

[

Auth0 Docs

在几分钟内实现认证](auth0.com/docs)
OAuth2和OpenID Connect。专业指南

获取免费电子书!

对安全的关注从未像现在这样重要。在IT界，它每天都在获得更多的相关性。但确保安全不仅仅是系统管理员的事。它也必须是开发人员的技能，特别是如果他们是网络开发人员。

Auth0为您带来一本关于安全和网络开发的免费电子书。了解更多关于它的信息，以及为什么你应该关心网络开发安全。

作为开发平台的网络

今天的网络已经不是90年代初发明的网络了。最初，它主要是作为一个内容管理系统而创建的，也就是说，一个分享和链接静态文件的平台。HTTP协议和HTML语言足以实现这些基本目标，而安全问题主要限于控制对机密文件的访问。

对互动性的需求导致了在客户端和服务器端引入了JavaScript和动态页面生成技术。这已经完全改变了网络的主要用途。它已经从分享和链接文件的简单方式演变为软件和人类联系的骨干。旧的内容管理系统平台已经转换为一个开发平台。

这种模式的变化带来了好处，但也带来了隐患。而且还带来了一连串的新挑战，其中最紧迫的是安全问题。

网络应用程序和安全

网络应用程序安全是指为保护网站或网络应用程序免受外部攻击而采取的措施，这些攻击可能导致数据丢失、拒绝服务或侵犯隐私等。当你部署一个网络应用程序时，它可以被任何人访问。你不能对谁会访问它做出任何假设：授权或未经授权的用户，人类，或机器人。默认情况下，你应该假设你的应用程序会暴露在任何安全风险之下。但什么是安全风险？

在分析你的应用程序安全时，有三个关键概念应该是清楚的。

威胁是有可能损害你的应用程序的事件。把它们看作是你的应用程序必须防御的外部进程。
漏洞是攻击者可以利用的你的应用程序中的弱点。它们可能取决于设计缺陷或错误，不仅是在你的代码中，而且在其依赖性中。缺陷也可能存在于基础设施层面，如不安全的协议或网络问题。
风险是指当威胁利用漏洞时，你的应用程序可能遭受的潜在损害。你可以把风险看成是威胁和漏洞的交集。

了解这些概念是保护你的应用程序免受攻击的根本。

"知己知彼，百战不殆。知己知彼，百战不殆。知己知彼，百战不殆"。

- 孙子

将威胁视为敌人的武器，将弱点视为你的弱点。你需要了解这两方面的情况，以面对战斗，并在计算风险的情况下做出决定。换句话说，学习安全攻击的运作方式是避免它们的第一道关口。

常见的网络应用程序威胁

我们不可能对网络应用程序所面临的潜在威胁做一个完整的列表。不断变化的网络安全状态意味着有太多的变量在起作用。然而，有一些众所周知的威胁是你应该注意的。开放网络应用安全项目（OWASP）是一个致力于传播网络安全知识和意识的在线社区，它在其OWASP十佳中跟踪网络应用最常见的安全风险。该文件旨在通过详述十大最关键的安全风险，在开发人员中建立安全意识。它代表了在开发者社区创建安全文化的第一步。希望这第一步能推动开发者采用安全设计的思维方式，即在应用开发的每一步都要考虑到安全问题。

免费试用最强大的认证平台。开始吧→