Domande con tag 'oauth2'

domande con tag
1
risposta

Sta usando i servizi OAuth2 come Google o Facebook Single Sign-On per motivi di privacy?

Con tutta la copertura dello scandalo di Cambridge Analytica, sembra che questa non sia stata una violazione o un attacco di dati, è solo che Cambridge Analytica non ha rivelato correttamente come avrebbero usato i dati. L'accesso a un sito w...
posta 22.03.2018 - 03:43
1
risposta

Protezione di un'API multi-tenant con SSO e diversi ruoli per tenant

Sto lavorando allo sviluppo di un'API REST che verrà utilizzata dai clienti di prima parte che sviluppiamo e dai clienti di terze parti in futuro. I client di prima parte includono un'applicazione lato client SPA e programmi eseguiti su PC clien...
posta 28.08.2017 - 17:31
1
risposta

OAuth2 Flusso implicito: possibili vettori di attacco del token di aggiornamento tramite CORS?

Attualmente stiamo implementando un'applicazione a singola pagina (Angular2) e quindi abbiamo incontrato lo standard "come possiamo proteggere il nostro problema dell'API backend". La soluzione standard a questo sembra utilizzare il flusso di...
posta 01.12.2016 - 16:34
1
risposta

Pulsante di accesso Google: cosa impedisce a un'app canaglia di rubare un token?

Ecco i passaggi per configurare un pulsante di accesso Google su un client web: link Quando fai clic sul pulsante di accesso Google, viene visualizzato questo: Tutte le interazioni sono tra l'IDP (Google) e il browser dell'utente....
posta 08.09.2018 - 00:22
2
risposte

Come può un utente finale verificare l'autenticità del modulo di accesso di un provider di autenticazione di terze parti

Considerato l'uso onnipresente di provider di autenticazione di terze parti nelle app Web oggi, in che modo gli utenti finali possono verificare l'autenticità dei moduli di accesso che raccolgono le loro credenziali? Cosa deve impedire a un sito...
posta 13.01.2018 - 20:37
1
risposta

È sicuro memorizzare il valore del parametro di stato nel cookie?

Come per link : The client MUST implement CSRF protection for its redirection URI. This is typically accomplished by requiring any request sent to the redirection URI endpoint to include a value that binds the request to the...
posta 25.10.2016 - 23:28
1
risposta

Esiste un modo per il lato server di verificare l'integrità dell'applicazione durante il flusso di lavoro OAuth2

Durante il flusso di lavoro PKCE OAuth2, l'applicazione nativa (installata su dispositivo Android / iOS) invia la richiesta di autorizzazione al server e lo scambio di OAuthtokens. Per quanto riguarda il server, esiste un modo per controllare...
posta 10.12.2018 - 08:24
0
risposte

OAuth 2.0 - utilizzo del segreto client in un'app nativa se il token di aggiornamento è memorizzato in modo sicuro

Sto sviluppando un'app nativa che ha bisogno di accedere a risorse protette usando OAuth 2. Esiste un requisito aziendale in modo che un utente debba inserire le sue credenziali manualmente il più raramente possibile e il modo migliore per otten...
posta 04.04.2017 - 22:18
0
risposte

Utilizzo della concessione del codice di autorizzazione senza utilizzare i cookie?

Ho letto questo argomento per mesi e sembra che l'intera faccenda possa convergere su ciò che riassumo di seguito. Sto cercando di arrivare al più ideale: OAuth2 OpenID Connect SPA / client mobile JWT Soluzione che ha una qualità di...
posta 07.10.2017 - 20:40
0
risposte

Il passaggio di attestazioni sull'utente in un token di accesso "abusa" di OpenID Connect?

Per prima cosa, ti assicuro che ho letto una serie di post sull'argomento prima di fare questa domanda, ma sono ancora confuso e apprezzerei più approfondimenti. Quindi, ecco la premessa: Esiste un'applicazione client che autentica l'uten...
posta 17.05.2018 - 13:17