Domande con tag 'oauth2'

domande con tag
0
risposte

OAuth2 Flusso implicito. Protezione aggiuntiva per access_token dall'intercettazione

Abbiamo un'applicazione JavaScript di una pagina che autentica l'utente sul nostro server usando il protocollo OAuth 2.0 (e il componente aggiuntivo AddId-Connect). Dopo l'autenticazione, il server invia un access_token all'applicazione. Su...
posta 14.03.2018 - 10:20
0
risposte

OAuth2 password analogica (privata, unica e statica) - Crittografia

Sto facendo una webapp che crittografa i dati di ciascun utente, usando AES-256, con una chiave univoca per ogni account. Sto pensando di aggiungere il collegamento esterno tramite lo schema "Accedi con Google". Tuttavia, ho fatto qualche ricerc...
posta 20.06.2017 - 20:37
0
risposte

OAuth2 è implicitamente sicuro?

Ho creato un server di autorizzazione utilizzando OAuth2 basato su OWIN. Capisco che la concessione implicita è fondamentalmente solo l'autenticazione di redirect_URL e Client_ID quando si effettua la richiesta. All'inizio pensavo che questo fos...
posta 28.02.2018 - 17:43
0
risposte

JWT come nonce in backend senza sessione

Sto creando un server API (un gateway) con due limitazioni in mente: Deve essere senza sessione (nessun ID di sessione in un cookie o in nessun luogo, nessun Redis o qualcosa del genere) Devo utilizzare una concessione implicita fornita da...
posta 15.12.2017 - 18:53
1
risposta

È possibile SSO senza SSL e / o sicuro?

Immagina un sito in cui HTTPS non viene utilizzato, per ragioni buone o cattive. L'amministratore di questo sito ha ancora bisogno di un modo per proteggere le connessioni e pensa di utilizzare l'autenticazione univoca solo con i social network...
posta 22.09.2016 - 06:55
1
risposta

cos'è una risorsa in UMA (OAuth2)?

Attualmente sto dando un'occhiata a OAuth e UMA e spesso leggo su risorse e server delle risorse. Ma non sono ancora sicuro di cosa esattamente una risorsa possa o non possa rappresentare. La maggior parte delle volte negli esempi, Endpoint API...
posta 08.01.2018 - 15:27
1
risposta

Come proteggere OAuth su un sito Web HTTP [chiuso]

Voglio utilizzare OAuth da una fonte famosa (Facebook / Google / GitHub) come meccanismo di accesso per gli utenti (per semplicità e per evitare di memorizzare password). Quali sono i rischi per la sicurezza? Ho davvero bisogno di HTTPS / TLS...
posta 08.05.2017 - 13:00
2
risposte

Come posso proteggere un valore nonce all'interno di app il cui codice sorgente è pubblico?

Sto sviluppando un plugin per Nylas N1 (implementa il nodo). Il plugin utilizzerà un flusso implicito per autenticare l'utente, poiché capisco che è il modo migliore per gestire le applicazioni lato client. Ho una vaga comprensione di come funzi...
posta 22.09.2016 - 14:42
1
risposta

Token di accesso JWT: troppe informazioni?

Recentemente ho riscontrato la pratica dei sistemi che utilizzano JWT come token di accesso. Ho una preoccupazione e non sono sicuro che sia infondato: Associo le JWT al protocollo OpenID Connect, dove vengono utilizzati come token ID. Hanno...
posta 05.12.2018 - 11:33
2
risposte

Memorizzazione di accesso OAuth e aggiornamento dei token in cookie non HttpOnly

Sto utilizzando il flusso del codice di autenticazione OAuth per generare accesso e aggiornare i token e quindi li memorizzo in due cookie del browser che sono not HttpOnly e che li inviano anche al client. I cookie devono essere non HttpOn...
posta 13.09.2018 - 13:41