Domande con tag 'authentication'

domande con tag
1
risposta

Ci sono dei rischi con la prepopolazione di un nome utente da una querystring su una pagina di accesso?

Quindi, abbiamo una pagina di accesso abbastanza standard su un'applicazione web. Vogliamo apportare una leggera modifica in modo che se un utente ottiene la sua password errata, la pagina si ricarica (come al momento) ma il nome utente viene...
posta 04.01.2018 - 09:52
1
risposta

OWASP ZAP spider didattico per utilizzare intestazione personalizzata

Ho bisogno di aiuto per configurare OWASP ZAP per eseguire correttamente la scansione del mio sito Web angolare di una pagina con lo spider. Ho configurato con successo uno zscript che gestirà il login e aggiungerò una sessione HTTP che posso...
posta 12.01.2018 - 13:39
1
risposta

Le chiavi generate da ssh-keygen sono utilizzate solo nell'autenticazione?

Dopo aver letto accesso senza password SSH con SSH Keygen in 5 Semplici passi , ho trovato la domanda: le chiavi generate da ssh-keygen sono utilizzate solo nell'autenticazione di accesso? Voglio dire se voglio modificare ssh-keygen p...
posta 14.09.2017 - 10:25
1
risposta

Come proteggere le API dei token di aggiornamento?

Ho due API utilizzate in auth : api/auth/newtoken : convalida con successo l'utente (ovvero, il nome utente e la password controllano nel DB) e restituisce token (expirers in 3 giorni) e refreshToken . api/auth/updatet...
posta 17.11.2017 - 05:44
1
risposta

Le password di amministratore devono trovarsi su un database diverso rispetto alle password normali

Stavo cercando di capire le migliori pratiche per l'archiviazione delle password degli amministratori e ho trovato un suggerimento di overflow dello stack per
posta 23.10.2017 - 20:02
1
risposta

Perché il server client non può parlare direttamente con un provider di identità come Facebook in OAauth 2.0

OAuth 2.0 utilizzato per l'autenticazione da Google ha senso, dato che il server e il client si fidano entrambi di Google, ma non l'uno dell'altro. Come ho capito, il codice di autorizzazione è passato al server (nel flusso lato server) come...
posta 02.06.2018 - 06:44
2
risposte

Importanza di un breve termine di scadenza su JWT

Al momento utilizziamo token Web JSON per l'autenticazione per l'API del nostro sito Web. Utilizziamo token di accesso di durata breve di 1 ora che vengono aggiornati mediante un token di aggiornamento revocabile permanente. Ora vogliamo aggiun...
posta 18.02.2018 - 21:24
1
risposta

Con HTTPS, posso conoscere con certezza il dominio client per l'autenticazione con la mia API

Ho difficoltà a trovare il titolo migliore per questa domanda, ma lascia che ti spieghi la mia situazione: Ho un'app di chat-room-as-a-service simile a Intercom. Chiunque può caricare la chat in un iframe e visualizzarla nel proprio sito. Vog...
posta 06.05.2017 - 00:20
3
risposte

Spoofing di un GUID

Al lavoro oggi stavo discutendo sull'identificazione di un utente tra due server Web che avranno accesso allo stesso DB di back-end. Ho suggerito di utilizzare un GUID per identificare la sessione utente , ma un collega ha detto che i GUID poss...
posta 21.04.2017 - 19:00
1
risposta

Traduzione OAuth Token (Opaque to JWT)

Ho visto un paio di discorsi che suggerivano l'uso della traduzione di token OAuth al gateway API dal token opaco al token JWT. Quali sono i vantaggi e gli svantaggi di questo approccio, chi dovrebbe usarlo? Se utilizziamo HTTPS, non penso ch...
posta 25.04.2017 - 10:02