Domande con tag 'oauth2'

domande con tag
1
risposta

Traduzione OAuth Token (Opaque to JWT)

Ho visto un paio di discorsi che suggerivano l'uso della traduzione di token OAuth al gateway API dal token opaco al token JWT. Quali sono i vantaggi e gli svantaggi di questo approccio, chi dovrebbe usarlo? Se utilizziamo HTTPS, non penso ch...
posta 25.04.2017 - 10:02
1
risposta

OpenID Connect, OAuth2 e account cancellati

Se utilizzo OpenID Connect o OAuth2 per l'autenticazione e un cliente cancella il proprio account OAuth2 provider (Facebook), come posso associare tranquillamente una nuova autenticazione con un provider OAuth2 diverso al vecchio account in modo...
posta 29.03.2018 - 14:43
1
risposta

Qual è il flusso corretto per l'autenticazione?

Ho il compito di migrare un gruppo di applicazioni .Net WebForm da uno schema di login utente / password personalizzato corrente a un'autenticazione e un'autorizzazione basate su oauth2 / openid connect. Questa specifica applicazione è molto mat...
posta 25.10.2018 - 19:53
1
risposta

Come impedire l'aggiornamento di un token di accesso rubato

Lo scenario è: hai un token di aggiornamento che è valido per un periodo di tempo più lungo e un token di accesso che è valido per un periodo di tempo più breve. Il setup: c'è un client, un application server e un server di autenticazione....
posta 11.05.2018 - 09:35
1
risposta

Quali vantaggi avrebbero i certificati lato client sull'autenticazione basata su firma come Oauth2 o HMAC per le richieste HTTP?

La mia applicazione attualmente supporta questi due metodi di autenticazione OAuth2 e HMAC Auth. OAuth2 link HMAC link Abbiamo una richiesta per supportare i certificati lato client per la nostra infrastruttura API. Al momento non vedo...
posta 15.03.2018 - 23:58
1
risposta

OpenID Connect / OAuth 2.0 e app "false" ufficiali

La mia domanda riguarda principalmente OpenID Connect, ma può essere applicata anche a OAuth 2.0. Quando si tratta di un client OpenID Connect che fa la danza "autorizza" con il provider OpenID Connect, il client invia il suo ID client al pro...
posta 07.01.2018 - 22:24
1
risposta

Autenticazione delle API degli aggiornamenti software

Abbiamo bisogno di migliorare un sistema che fornisca aggiornamenti software (file firmware / software) a un dispositivo Bluetooth attraverso un'applicazione "companion" installata sugli smartphone dei clienti (ios / android). Il processo di...
posta 16.02.2017 - 09:41
1
risposta

Come gestire la registrazione OAuth2 dove l'indirizzo e-mail esiste già come account utente?

Sto creando un flusso di lavoro OAuth2 che si estende su sito Web e app mobili. Ho bisogno di sapere se il seguente flusso di lavoro è sicuro, dove una registrazione OAuth2 è completata, ma si scopre che l'indirizzo email dell'utente autentic...
posta 11.02.2017 - 16:45
1
risposta

Perché la specifica OAuth2 consiglia di non trasmettere le credenziali del client nel corpo della richiesta?

La specifica OAuth 2.0 afferma che durante l'autenticazione con una password del client, puoi passare client_id e client_secret usando uno dei due: l'intestazione Authorization , utilizzando lo schema di autenticazione di HTTP...
posta 21.09.2016 - 09:37
0
risposte

Come fornire una sicurezza API granulare utilizzando gli ambiti e le attestazioni OAuth

Sto cercando di individuare il modo migliore per proteggere un'API utilizzando gli ambiti o le rivendicazioni oAuth. Non sono sicuro su cosa dovrei usare. La mia configurazione è la seguente: Tutti gli utenti eseguono l'accesso a signi...
posta 19.11.2018 - 13:56