Domande con tag 'oauth2'

3
risposte

Oauth2 vs APIKey in una comunicazione server-server

Un fornitore di servizi di terze parti sta esponendo un'API di pagamento che dobbiamo integrare nel nostro back-end. Come comunicazione di trasporto, utilizzeremo questa API utilizzando TLS con certificato client e una rete privata MPLS. Com...
posta 06.02.2018 - 12:30
2
risposte

È sicuro per gli utenti della mia API "Accedi con GitHub" usando passaport-github?

Comprendo che OAuth2 è stato progettato per delegare le autorizzazioni di autorizzazione a risorse specifiche, è solo non un protocollo di autenticazione . Tuttavia, lo stato passport-github README , This module lets you authenticat...
posta 23.10.2016 - 08:25
2
risposte

Flusso OAuth2 non confidenziale

Ho esaminato alcuni documenti relativi a OAuth2 di flussi di autorizzazione riservati e non riservati, ovvero questo e RFC . Da quanto ho capito, il flusso non confidenziale non richiede client_secret , o meglio ancora, in realtà non...
posta 17.01.2018 - 17:29
0
risposte

Sicurezza FB Oauth CSRF, sito Web PHP

Sto facendo esperimenti con l'accesso di terze parti, utilizzando Twitter e Facebook. Dopo aver ottenuto il token di accesso da queste parti e confermandone la validità, emetto quindi il mio token JWT utilizzato nel mio cluster di applicazion...
posta 06.02.2017 - 19:38
2
risposte

Che cosa protegge effettivamente PKCE?

Sto cercando di capire come PKCE funziona in un'app mobile e c'è qualcosa che non abbastanza comprensibile. Quindi, da ciò che posso raccogliere l'app client crea una stringa crittograficamente protetta casualmente nota come verificatore de...
posta 14.12.2017 - 12:56
2
risposte

C'è qualche differenza di sicurezza tra il login tramite iFrame, Pop-up o il reindirizzamento?

Sembra esserci un numero di tecniche per autenticare una persona sul web. Più comunemente ci sono Popup di Javascript (Google, Firefox Persona, Disqus, ecc.) Reindirizzamenti HTTP (OAuth, Facebook) IFrames , con il sandboxing set se nec...
posta 02.05.2017 - 20:19
1
risposta

CORS è mai stato necessario durante qualsiasi aspetto dell'autenticazione OAuth / OpenIDConnect?

Sto osservando l'autenticazione OpenIDConnect e sto provando a determinare se "CORS" o "CORS complessi" sono mai stati sfruttati durante l'autenticazione o l'autorizzazione. Sfondo Un semplice CORS (senza preflight) implica: Metodo HT...
posta 28.12.2016 - 03:08
1
risposta

Ho bisogno di protezione CSRF in questa configurazione con un'API REST supportata da oauth2 e un server di autenticazione SSO di autenticazione di base?

Ho visto la risposta È possibile CSRF se non utilizzo nemmeno i cookie? , ma ci sono 2 risposte in conflitto e la domanda in sé non fornisce molte informazioni. Sto creando un'API REST che verrà utilizzata da un client Web (di nostra creazio...
posta 11.07.2018 - 06:28
2
risposte

Come utilizzo CORS correttamente con OpenID Connect?

Sembra esserci una serie di domande su diversi blog, Q & A siti e commenti che richiedono varianti della domanda: How do I correctly use CORS with OpenID Connect? Il contesto di queste domande viene solitamente applicato a uno di qu...
posta 09.02.2017 - 16:07
0
risposte

Esiste un buon modo per memorizzare i token OAuth2 per un'applicazione nativa?

Attualmente ho un'applicazione PC nativa che crea e carica una configurazione su un dispositivo Linux incorporato (cioè il client). Questo dispositivo si connette a Google Calendar tramite la loro API OAuth2. La configurazione richiede: Un p...
posta 22.12.2017 - 05:32