Domande con tag 'authorization'

domande con tag
1
risposta

OAuth 2 Tipo di sovvenzione implicita per la prima parte SPA - Modo più sicuro e ragionevole

Il mio obiettivo è quello di proteggere la mia API stateless e consentire solo ai clienti proprietari (SPA) registrati di consumare le mie risorse. Non ci saranno clienti di terze parti nel mio scenario. So che l'autorizzazione Oauth 2 con ti...
posta 14.10.2018 - 13:05
1
risposta

Center for Internet Security Versione 6.1 Controllo di sicurezza critico 16-10

Il mio progetto sta implementando The CIS Critical Security Controls, Versione 6.1 Qualcuno può darmi qualche consiglio su come possiamo indirizzare il sottocontrollo 16.10 che dice ..... " Verifica l'utilizzo tipico degli account di ciascun...
posta 31.10.2018 - 04:37
1
risposta

Applicazione Web con origine CORS: * utilizzando l'intestazione dell'autorizzazione

Come indicato qui, link a "Richieste e caratteri jolly credenziali". Citazione: When responding to a credentialed request, the server must specify an origin in the value of the Access-Control-Allow-Origin header, instead of specifying...
posta 21.09.2018 - 13:49
1
risposta

OAuth2 per app mobili con client back-end riservato (è richiesta PKCE?)

Mi chiedo perché né rfc6749 né rfc8252 sembrano considerare il caso in cui l' app per dispositivi mobili non > fare richieste di risorse protette (e quindi non è un client) ma si affida invece a un server di backend (client riservato) che...
posta 30.05.2018 - 03:01
1
risposta

Ci sono degli standard per la creazione dell'autorizzazione del codice pin?

Stiamo per aggiungere una funzione di autorizzazione pin al nostro sito web. Quindi, mi sto chiedendo una domanda, come renderlo sicuro? Come ho capito, Apple / Windows dopo il primo login utente, il codice di accesso a un dispositivo specifico....
posta 08.09.2017 - 14:52
1
risposta

Il flusso del codice di autorizzazione OAuth 2 è vulnerabile al Problema in questione confuso?

Deputy Deputy Problem (noto anche come "The Devil Wears Prada") è una vulnerabilità di OAuth 2 che si verifica quando il protocollo viene utilizzato per l'autenticazione. In sostanza, un client dannoso ottiene un token per un utente e lo present...
posta 05.12.2017 - 16:32
1
risposta

OAuth 2.0: qual è il vantaggio del flusso di concessione authorization_code sul flusso di concessione implicito?

Non sono in grado di apprezzare quale sia il vantaggio di avere un codice di autorizzazione dato al client e quindi di scambiarlo per il token di accesso sul lato webapp. Invece, perché non dare semplicemente access_token al client e chiedere al...
posta 30.05.2017 - 19:03
1
risposta

OAuth 2.0: i token di aggiornamento sono ancora utili quando tutti i client sono pubblici?

Sto progettando una nuova API REST per un servizio di app per dispositivi mobili, che è qualcosa che non ho ancora dovuto fare da zero. Ho deciso di utilizzare OAuth 2.0 con la concessione delle credenziali di password del proprietario di risors...
posta 14.06.2017 - 07:21
1
risposta

Qual è la necessità del tipo di concessione "password" in OAuth 2.0?

Il bisogno di OAuth è sorto perché volevamo dare accesso ad alcune delle nostre risorse al Resource Server (ad esempio, il mio nome / email su Facebook) alle app di terze parti. Questo giustifica vari tipi di sovvenzioni. Ma per il tipo di co...
posta 26.04.2017 - 19:06
1
risposta

Pagina protetta con autenticazione di base accessibile senza intestazione ma non da IP diversi

Sto guardando un sito Web che utilizza l'autenticazione di base per autorizzare gli utenti. Quando guardo la richiesta, una volta autenticato, aggiunge l'intestazione Authorization: Basic cm9vdDpwYXNzd29yZA== (sono consapevole che questo...
posta 31.01.2017 - 10:05