Domande con tag 'oauth2'

2
risposte

È ragionevole consentire l'accesso a Google per le persone che si sono registrate "normalmente"?

Ho pensato - diciamo che un utente si iscrive al tuo sito nel modo "standard". Cioè, inseriscono un indirizzo e-mail, magari un nome utente e una password, e completano la procedura di iscrizione. È quindi ragionevole, in termini di sicurezza,...
posta 18.12.2016 - 12:34
1
risposta

Perché il preflight CORS non è disponibile per le richieste POST quando Content-Type è application / x-www-form-urlencoded

In oauth2 per l'applicazione a singola pagina (SPA), possiamo revocare i token di accesso del tipo di concessione implicita utilizzando una richiesta Ajax (questo non è raccomandato ora). Ho provato a fare una richiesta come di seguito da un tal...
posta 08.06.2018 - 09:35
2
risposte

Qual è la differenza tra le chiavi API e i token API?

Da tutta la ricerca che ho fatto, ho trovato che le chiavi API sono meno sicure dei token di accesso (con l'uso di oAuth) e dovrebbero essere utilizzate solo a scopo di monitoraggio. Ma da quello che ho capito, il server genera entrambi. Quin...
posta 14.06.2017 - 09:58
4
risposte

Come può un server delle risorse OAuth2 collegare un token di accesso all'utente che lo ha autorizzato a impedire l'accesso non autorizzato ad altre risorse utente?

Sarei grato se qualcuno potesse chiarire se, in base alla RFC OAuth2 , il server delle risorse potrebbe dedurre utente associato a un token di accesso o no, o anche se è previsto. Supponiamo che: Il server delle autorizzazioni e il se...
posta 05.12.2018 - 08:49
2
risposte

OAuth - In che modo il server di risorse convalida il token di accesso non per altri server di risorse?

Facciamo un esempio dove ci sono due server di risorse - RS1 e RS2 e c'è un server di autorizzazione - AS. Entrambi i server di risorse - RS1 e RS2 utilizzano il server di autorizzazione - AS Se un client richiede un token di accesso per R...
posta 21.06.2018 - 16:36
2
risposte

Perché un URL di callback sottodominio con caratteri jolly in OAuth è considerato non sicuro?

In questo post: link Enter your full callback URL(s) in this field. This means you should be providing the entire path, such as https://mysite.com/oauth/callback. Do not use wildcards, and do not use only the domain. Il post dice...
posta 26.02.2018 - 01:10
3
risposte

Un token di accesso dovrebbe riflettere i ruoli utente correnti?

Un utente con il ruolo "A" richiede un token di accesso al momento t , che scade tra 12 ore; dopo 6 ore, il ruolo "B" è concesso all'utente oltre al ruolo "A". Il token dovrebbe assegnare il ruolo utente "B", anche se il ruolo non è stato as...
posta 09.10.2017 - 14:17
1
risposta

I pericoli di passare l'ID del client Oauth 2.0 e il segreto del client nella richiesta uri

Stavo leggendo qui che quando si passa un client_id e un client_secret a un server di autorizzazione, The parameters can only be transmitted in the request-body and MUST NOT be included in the request URI. Quali sono i possi...
posta 26.10.2016 - 04:44
1
risposta

Perché i server di autorizzazione dovrebbero documentare la dimensione degli identificatori dei client?

Nella sezione 2.1 di RFC OAuth2.0, si afferma quanto segue per quanto riguarda l'identificatore del client: The authorization server SHOULD document the size of any identifier it issues. Che senso ha fare questo?     
posta 19.10.2018 - 10:49
1
risposta

Perché il server client non può parlare direttamente con un provider di identità come Facebook in OAauth 2.0

OAuth 2.0 utilizzato per l'autenticazione da Google ha senso, dato che il server e il client si fidano entrambi di Google, ma non l'uno dell'altro. Come ho capito, il codice di autorizzazione è passato al server (nel flusso lato server) come...
posta 02.06.2018 - 06:44