Domande con tag 'oauth2'

domande con tag
1
risposta

OAuth2 per app mobili con client back-end riservato (è richiesta PKCE?)

Mi chiedo perché né rfc6749 né rfc8252 sembrano considerare il caso in cui l' app per dispositivi mobili non > fare richieste di risorse protette (e quindi non è un client) ma si affida invece a un server di backend (client riservato) che...
posta 30.05.2018 - 05:01
1
risposta

Trovato come ottenere Oauth2 client_id lungo il segreto corrispondente ma redirect_uri è autorizzato come requisito. È ancora sicuro?

Se ottieni un OAuth 2.0% diclient_id e un secret corrispondente, puoi teoricamente impersonare il sito web di destinazione. induci la vittima a visitare il tuo URL; Attraverso client_id e OAuth 2.0% corrispondente disecret li si...
posta 06.12.2018 - 03:05
1
risposta

Quali sono le informazioni fornite in un profilo utente alla fine di un flusso OpenID Connect?

Da quanto ho capito sull'uso di OpenID Connect (oltre OAuth2 ), è che ci ritroviamo con alcuni JSON contenente informazioni sull'utente. Tali informazioni vengono trasportate come Token Web JSON . ➥ Quali sono le informazioni in parti...
posta 03.12.2018 - 01:41
1
risposta

Come fa lo user agent a sapere chi ha effettuato l'accesso? (Utilizzo dei codici di autenticazione)

Quando si utilizzano i codici di autorizzazione (nel flusso Explicit oAuth2), l'agente utente non sembra mai vedere altro che il codice di autenticazione, che non identifica nemmeno l'utente. Il codice viene quindi inviato al client, che ora con...
posta 12.02.2018 - 23:34
1
risposta

Il codice di autenticazione OAuth2 è abbastanza lungo da essere sicuro?

Recentemente ho iniziato a lavorare con il flusso di autenticazione OAuth2. Nel suo utilizzo, vedo che nel flusso authcode, il client consente a AuthServer di autenticare un utente e quindi restituisce un codice di autenticazione al client, che...
posta 13.08.2018 - 23:48
1
risposta

Il flusso del codice di autorizzazione OAuth 2 è vulnerabile al Problema in questione confuso?

Deputy Deputy Problem (noto anche come "The Devil Wears Prada") è una vulnerabilità di OAuth 2 che si verifica quando il protocollo viene utilizzato per l'autenticazione. In sostanza, un client dannoso ottiene un token per un utente e lo present...
posta 05.12.2017 - 17:32
1
risposta

OAuth 2.0: qual è il vantaggio del flusso di concessione authorization_code sul flusso di concessione implicito?

Non sono in grado di apprezzare quale sia il vantaggio di avere un codice di autorizzazione dato al client e quindi di scambiarlo per il token di accesso sul lato webapp. Invece, perché non dare semplicemente access_token al client e chiedere al...
posta 30.05.2017 - 21:03
2
risposte

App nativa: login con username e password

Ho web api, per ora utilizza oauth2 tipo di concessione del codice di autorizzazione per comunicare con la mia applicazione nativa. Il browser Web verrà aperto all'interno dell'app per inserire nome utente e password, aprire la pagina di aut...
posta 21.10.2016 - 15:49
1
risposta

Devo inviare il segreto con il token di aggiornamento in OAuth 2.0

Sto lavorando per implementare un server OAuth 2.0 e durante la lettura della specifica RFC6749 mi sono reso conto che sezione 6 su Pagina 47 riguardante "Aggiornamento di un token di accesso". Spiega che dobbiamo semplicemente usare il Token...
posta 07.11.2016 - 12:50
1
risposta

Qual è il vantaggio in termini di sicurezza dell'utilizzo di PostMessage anziché di un URL di callback in OAuth / OIDC?

Di tutti gli emittenti che ho trovato, (Facebook, Twitter, Azure AD, ecc.) solo CloudKit di Apple ha la funzione di "post messaggio" come callback (a meno che non sia sepolto nell'SDK dell'altro) Ecco uno screenshot del Portale degli sviluppa...
posta 07.12.2016 - 03:16