Domande con tag 'authorization'

domande con tag
1
risposta

Autenticazione JWT e schema di autorizzazione

Stavo passando per i documenti di Oauth2 e pensavo che fosse una sorta di sicurezza permissiva, quindi ho provato a implementare token JWT con uno schema speciale come nell'immagine per un'app mobile che comunica con un'API Web. Note: non mi...
posta 12.05.2016 - 23:28
1
risposta

Necessità di ambito nel flusso di credenziali del client OAuth

Per me, il flusso di credenziali del client è come se il client richiedesse il token di accesso per se stesso, non per conto di qualche utente. Quindi, perché al cliente piacerebbe limitare il proprio ambito? Qual è il vantaggio degli ambiti...
posta 14.06.2018 - 18:27
4
risposte

Salvataggio delle password e memorizzazione delle funzioni

(BTW, questo è tutto codificato in PHP come sono sicuro che sarai in grado di dire dalla funzione in basso) Quando si salvano le password, sono a conoscenza del fatto che è necessario eseguire l'hash delle password, infatti qui è il mio codic...
posta 06.08.2016 - 14:18
2
risposte

Posso usare il servizio di gestione utenti di stormpath con una libreria XACML come BALANA?

Sto cercando di implementare alcuni controlli di accesso di sicurezza in un software che sto costruendo. Mi sono imbattuto in Stormpath per la gestione degli utenti e hanno in qualche modo un approccio per RBAC, ma quello che stavo considerand...
posta 03.08.2014 - 15:05
1
risposta

Scopo per "Token One Time Use"

Sto collegando un ORG Salesforce con un fornitore di terze parti tramite un'API personalizzata (in pratica l'hanno scritto solo per noi). L'API richiede di recuperare un "token" che si passa ad altre chiamate tramite autorizzazione BASIC. Sta...
posta 14.05.2015 - 19:17
2
risposte

È una buona pratica usare i certificati come mezzo di identificazione del cliente in un ambiente cloud

Il mio sistema software sta eseguendo un'infrastruttura cloud dove avere macchine Linux VPN nel gateway OpenVPN è un requisito di installazione. Inoltre, potrebbero esserci casi in cui il software sulle macchine Linux sopra menzionate potrebbe d...
posta 24.08.2015 - 12:32
1
risposta

Pensieri sulla mia implementazione JWT

Quindi ho cercato di imparare il più possibile sulla tokenizzazione JWT e auth0 sembra essere il vero hub di informazioni JWT. Tuttavia, più leggo sui token di aggiornamento, più mi cruccio: l'idea stessa di un "infinitamente" aggiornabile (o...
posta 08.04.2016 - 02:13
1
risposta

Identità client diversa da URL / nome DNS nel certificato

Attualmente sto lavorando a un progetto in cui viene eseguita quasi tutta la comunicazione utilizzando HTTPS e ActiveMQ. I server e i client sono fisicamente in luoghi diversi, organizzazioni diverse e in diversi domini. I componenti del sistema...
posta 24.08.2016 - 09:16
1
risposta

È possibile utilizzare il parametro "state" di oauth2 per evitare l'uso di cookie di sessione per identificare l'utente

link afferma: 4.1.1. Authorization Request" "state" RECOMMENDED. An opaque value used by the client to maintain state between the request and callback. The authorization server includes this value when r...
posta 19.10.2018 - 13:53
1
risposta

Condivisione di token di accesso nell'intestazione della risposta?

Qual è il modo migliore per condividere i miei token di accesso ? Va bene condividerlo nell'intestazione come testo normale, oppure devo cercare ad es. JWT ? Flusso di lavoro corrente: -> POST /api/login -d {**creds} <- 201 [headers...
posta 09.12.2015 - 00:56