Domande con tag 'oauth2'

domande con tag
1
risposta

Server di risorse e server di autorizzazione in OAuth 2.0

Il server delle risorse e il server delle autorizzazioni possono trovarsi sullo stesso server in OAuth 2.0? Inoltre, possono condividere lo stesso database?     
posta 21.02.2018 - 04:22
1
risposta

Prevenire CSRF con flusso implicito e JWT?

Sto leggendo attraverso openid connect document ATM e dice: Put into a browser cookie the ID token can be used to implement lightweight stateless sessions. IIUC vogliamo evitare di usare i cookie per evitare gli attacchi CSRF, dal mom...
posta 04.11.2017 - 04:23
1
risposta

Qual è una buona ragione per mantenere le credenziali OAuth?

Durante la revisione del database per alcuni siti Web ho notato delle tabelle in cui le credenziali OAuth (come il token, il token di aggiornamento) tra le altre informazioni sono memorizzate nel database. La mia comprensione è che questa inf...
posta 24.01.2017 - 15:10
1
risposta

Perché il redirect_uri è definito come uri assoluto in OAuth2?

Ho letto le specifiche OAuth2 e sezione 3.1.2 afferma che il reindirizzamento Il parametro uri (il callback utilizzato dopo l'autenticazione corretta per reindirizzare nuovamente al servizio) deve essere un uri assoluto. Ho faticato senza succ...
posta 29.01.2017 - 23:04
1
risposta

È possibile utilizzare i webtoken JSON per semplificare il protocollo OAuth2 senza compromettere la sicurezza?

Ho usato json webtokens per gestire l'autenticazione per alcuni siti web di hobby in passato. Per il mio prossimo sito vorrei utilizzare OAuth2, per consentire l'utilizzo del mio sito con altri servizi. Sembra che il protocollo authorization_...
posta 24.02.2017 - 09:46
0
risposte

Come archiviare correttamente OAuth 2.0 client_id e client_secret in un'applicazione web?

Nel PoC (Proof of Concept) che sto attualmente sviluppando, i dati di un'API vengono consumati e OAuth 2.0 è richiesto per l'autenticazione. L'applicazione funziona già come previsto, gli utenti possono accedere ai dati dall'API utilizzando OAut...
posta 18.12.2018 - 22:55
1
risposta

Utilizzando l'autenticazione di terze parti come google / facebook per accedere a un sito, esiste un rischio per la sicurezza quando il sito viene violato?

Siti come StackOverflow, Quora e molte altre offerte eseguono l'accesso da Google / Facebook. Nel caso in cui vi sia una violazione dei dati o che il sito sia violato , c'è qualche rischio di sicurezza per il tuo account Google / Facebook?    ...
posta 04.12.2018 - 16:28
0
risposte

Chiarimento necessario sul contenuto RFC di OAuth 2.0 Framework

Nella parte introduttiva del documento RFC OAuth 2.0 , il quarto punto cita come segue: Resource owners cannot revoke access to an individual third party without revoking access to all third parties, and must do so by chang...
posta 10.12.2018 - 05:28
0
risposte

implementa push api per i file usando oauth2

Voglio implementare un'API push simile a API Garmin Connect . questa API consente ai client di ottenere i dati degli utenti di garmin, poiché garmin invia ai client i file dell'utente ogni volta che viene creato. abbiamo tre attori (il clien...
posta 13.12.2018 - 16:58
0
risposte

Nel callback OAuth di google, fornisce a redirect_uri dal client un rischio per la sicurezza?

ad esempio, in callback url di google oauth, per convertire 'code' in access_token, ho bisogno di: Href lato client: https://accounts.google.com/o/oauth2/auth?scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email+https%3A%2F%2Fwww....
posta 20.07.2018 - 04:57