Domande con tag 'oauth2'

domande con tag
2
risposte

È sicuro utilizzare OAuth (concessione delle credenziali della password del proprietario della risorsa) per l'autenticazione?

In particolare, devo preoccuparmi del problema del vice confuso se sto solo cercando di autorizzare un utente contro una singola API? Ad esempio: un servizio di messaggistica di base vorrà autenticarsi e quindi autorizzare un utente a inviare...
posta 07.09.2016 - 23:34
0
risposte

Accordare in modo sicuro un utente autenticato attraverso i microservizi

Su una piattaforma che segue il framework OAuth 2.0 per l'autorizzazione e un'architettura basata su microserivce, qual è un modo sicuro per passare un utente da un microservizio a un altro sulla stessa piattaforma senza dover autenticare di nuo...
posta 20.12.2018 - 11:27
1
risposta

Utilizzando l'autenticazione di terze parti come google / facebook per accedere a un sito, esiste un rischio per la sicurezza quando il sito viene violato?

Siti come StackOverflow, Quora e molte altre offerte eseguono l'accesso da Google / Facebook. Nel caso in cui vi sia una violazione dei dati o che il sito sia violato , c'è qualche rischio di sicurezza per il tuo account Google / Facebook?    ...
posta 04.12.2018 - 16:28
1
risposta

Oauth2 PKCE - Si può fidare del refresh_token?

Se un cellulare è autorizzato contro il mio server utilizzando PKCE, che gli consente di ottenere un access_token e un refresh_token , in che misura devo fidarmi che l'app possa usare refresh_token da ora in poi ottenere il acces...
posta 03.12.2018 - 18:09
1
risposta

Perché utilizziamo Oauth2 invece di Basic Auth nella comunicazione server-server con SSL?

Perché alcuni provider API ti chiedono di implementare Oauth2 nella comunicazione server-server disponibile solo su HTTPS? Nel frontend (app o webapp), Oauth2 è utile per proteggere le credenziali dell'utente memorizzando un token e non le cr...
posta 22.10.2018 - 11:53
0
risposte

OAuth2.0 e API RESTful

Quindi sto creando alcuni endpoint RESTful API che utilizzano token Bearer per l'autorizzazione. Voglio utilizzare OAuth2.0 per ottenere i token di accesso per questi. Ma non riesco a capire come ottenere il flusso di lavoro di OAuth 2.0 con il...
posta 12.10.2018 - 12:20
0
risposte

Sicurezza API annidata

Quali sono le migliori pratiche per proteggere le API nidificate? Ecco un esempio: Browser utente (già autenticato) - > API REST A - > API REST B (interna e può o non può essere esposta a Internet) Tipicamente, l'API A di REST è p...
posta 30.10.2018 - 21:30
0
risposte

OAuth2 e collegamento di risorse di un proprietario a un altro account personale

Sto implementando il lato client OAuth e sono preoccupato per il seguente scenario. C'è un'applicazione A registrata con il servizio B che offre accesso alle sue risorse utente - autorizzata da OAuth (Confidential, Authorization code flow)....
posta 01.08.2018 - 10:40
0
risposte

Auth0 vs Firebase = oidc vs Token Firebase

Sto cercando di scegliere tra Auth0 e Firebase come provider di identità. Sto creando una SPA con un'API Backend e vorrei utilizzare Auth0 o Firebase per tutte le logiche relative a utenti / password / diritti di accesso ed ecc. Auth0 usa OID...
posta 25.07.2018 - 11:11
0
risposte

Token Exchange a un'API REST Gateway per federare l'autenticazione mantenendo l'autorizzazione dettagliata (si pensi ABAC) all'interno dell'API?

Sono sull'orlo della creazione di un servizio all'interno del nostro server delle risorse che scambia un token di accesso generato esternamente per un token di accesso generato internamente. Tuttavia, questo sembra sbagliato. Non ho trovato prov...
posta 27.06.2018 - 02:00