Domande con tag 'oauth2'

domande con tag
2
risposte

La specifica OpenID Connect Core definisce erroneamente OpenID Provider e Relying Party in termini di partecipanti umani?

Ci sono alcune definizioni importanti nelle specifiche OpenID Connect Core che si riferiscono a un umano partecipante, e a prima vista sembrerebbe che OpenID Connect si applica solo nei casi in cui vi è un partecipante umano, ma questo non è v...
posta 04.03.2018 - 17:09
1
risposta

Perché usare il token di aggiornamento oAuth2 è più sicuro, quindi rigenerare un access_token?

Sto implementando un'autenticazione oAuth2 per proteggere il mio REST Api. Poiché sto implementando oAuth2, devo generare un access_token che mi consenta di accedere temporaneamente ai miei dati REST. Per farlo, invio semplicemente una ric...
posta 04.05.2018 - 12:50
0
risposte

Protezione di un'API REST multi-tenant B2B (da server a server) [chiusa]

Sto sviluppando un'API REST multi-tenant B2B che verrà invocata dall'applicazione server (provider wallet) del tenant (client sicuro o riservato) per eseguire alcune operazioni sui suoi account utente. Le informazioni di autenticazione dell'uten...
posta 01.11.2017 - 05:38
0
risposte

Oauth2 per le app mobili rispetto a Google Digital Asset Links

Sto lavorando su un nuovo servizio di autenticazione per la mia azienda. Abbiamo un'app Web (asp.net) e un'API separata. L'API viene utilizzata da integratori di terze parti e anche dalle nostre app mobili. Per le app mobili, molte persone ut...
posta 20.02.2018 - 22:31
0
risposte

OAuth2 Flusso implicito e autologin silenzioso di Windows Identity. Possibili nuovi vettori di attacco?

Abbiamo una tipica applicazione di pagina singola js che si autentica sul nostro server di autenticazione utilizzando il protocollo OAuth 2.0 (e il componente aggiuntivo OpenId-Connect). Il cliente ha inviato una richiesta per implementare l'aut...
posta 14.03.2018 - 09:28
0
risposte

OAuth2 auth server riutilizzando il token di accesso

Ho trovato alcune implementazioni del provider OAuth2 (auth server) che emette lo stesso token di accesso (per lo stesso utente e ambito) per diverse richieste di autenticazione. La specifica OAuth2 lo consente? Eventuali effetti collater...
posta 14.03.2018 - 21:13
0
risposte

Microservice - Oauth2 Flusso di lavoro con SPA, accesso a Facebook e JWT

Introduzione Al momento stiamo cercando di capire come implementare l'autenticazione basata su token e con Facebook Connect in combinazione con forse JWT all'interno dell'architettura dei servizi micro. Contesto di sistema Ap...
posta 10.01.2018 - 09:16
1
risposta

Come viene autenticato un utente sul server B se sono già autenticati sul server A tramite OAuth2?

Diciamo che ho il server A (un server web). Gli utenti inizialmente utilizzano un provider esterno come Google per essere autenticati su quel server. Nel mio database viene creata una voce che dice che questo utente ha effettuato l'accesso prima...
posta 20.10.2017 - 03:48
0
risposte

Oauth code code flow: genera il valore "state"

Sto lavorando su client che implementano il flusso OAuth2 "auth code". Sto cercando di trovare il modo migliore per generare (e ricontrollare) il parametro "stato" per impedire attacchi CSRF al flusso di login. Non riesco a memorizzare il valore...
posta 22.06.2017 - 10:59
0
risposte

È sufficiente controllare il pubblico dei token di accesso OAuth2?

Sto studiando l'utilizzo di Social Login per un servizio web gestito da portali basati su Web e applicazioni mobili. L'idea è di "autenticare" l'utente e lasciare che il servizio crei una "chiave API" una volta che l'utente è stato autenticato....
posta 13.10.2016 - 09:11