Domande con tag 'oauth2'

1
risposta

Archiviazione sicura dei token di accesso per Key Vault di Azure

Sto utilizzando il KEY Vault di Azure per archiviare le chiavi di crittografia e gestire la crittografia e la decrittografia poiché abbiamo una specifica che richiede che le chiavi di crittografia vengano mantenute offsite , tuttavia questo...
posta 19.12.2017 - 16:10
1
risposta

Perché oAuth e oAuth 2 dispongono di token di accesso?

Sto cercando di implementare un sistema per le app di terze parti per accedere ai dati archiviati da un utente su un provider. Abbiamo un robusto sistema di controllo degli accessi, con lettura / scrittura separata / ecc. livelli per ogni "fluss...
posta 11.06.2017 - 18:58
1
risposta

Necessità di ambito nel flusso di credenziali del client OAuth

Per me, il flusso di credenziali del client è come se il client richiedesse il token di accesso per se stesso, non per conto di qualche utente. Quindi, perché al cliente piacerebbe limitare il proprio ambito? Qual è il vantaggio degli ambiti...
posta 14.06.2018 - 18:27
1
risposta

Utilizzo di un token oauth2 di gmail per accedere all'e-mail Web

Ho dimenticato la mia password per un vecchio account gmail. Ho provato il percorso regolare di recupero della password di gmail: rispondere alle domande, continua a tornare alle domande, quindi penso che mi stia sbagliando, l'utilizzo del ripri...
posta 08.12.2016 - 14:54
1
risposta

Le differenze di sicurezza tra fb connect e openid connect

Ho letto molto sul motivo per cui l'oauth è sbagliato per l'autenticazione, e bisogna almeno costruirlo sopra per raggiungere un livello accettabile di sicurezza. Questo mi ha spinto a guardare i maggiori fornitori di oauth a strati - Faceboo...
posta 28.04.2017 - 19:29
1
risposta

È possibile utilizzare il parametro "state" di oauth2 per evitare l'uso di cookie di sessione per identificare l'utente

link afferma: 4.1.1. Authorization Request" "state" RECOMMENDED. An opaque value used by the client to maintain state between the request and callback. The authorization server includes this value when r...
posta 19.10.2018 - 13:53
1
risposta

Autorizza la comunicazione transitiva tra le applicazioni per conto dell'utente

Sto cercando di capire da un po 'di tempo la questione della sicurezza web. Supponiamo di avere un sistema configurato come illustrato nella figura seguente. Esisteun'unicaapplicazioneprincipaleconcuil'utenteinteragiscelamaggiorpartedeltempo...
posta 03.06.2018 - 09:39
2
risposte

Va bene scrivere il token OidC Bearer per registrare?

Durante lo sviluppo abbiamo aggiunto ai registri degli errori i dettagli delle richieste http, comprese le intestazioni, per comprendere meglio l'analisi degli errori. Il nostro architetto ha sottolineato che non dovremmo inserire informazioni s...
posta 17.09.2017 - 14:33
2
risposte

Perché le password vengono inviate non trattate dalla maggior parte dei siti Web moderni? [duplicare]

Ho indagato su vari protocolli utilizzati per inviare nomi utente e password ai server Web per l'autenticazione, e mentre ovviamente tutti questi giorni usano SSL / TLS, sono stato un po 'sorpreso nel vedere che anche con il mio banking online...
posta 08.11.2017 - 20:48
1
risposta

Come funziona la sicurezza in uno scenario di backup cloud-to-cloud?

Sto pensando di usare Spinbackup, che è un backup cloud-to-cloud di gmail, ma ero resistente all'idea di dire a Spinbackup la mia password di Gmail per ovvi motivi. Tuttavia, nella pagina di sicurezza di Spinbackup viene indicato questo:...
posta 25.05.2018 - 09:24