Domande con tag 'oauth'

domande con tag
1
risposta

Autenticazione per SPA

Sto sviluppando un'applicazione per la mia azienda con i seguenti parametri e amp; componenti: Applicazione a singola pagina del front-end (SPA) per la prima parte. Questo è implementato in TypeScript (un dialetto di JavaScript) e stiamo s...
posta 20.12.2016 - 16:57
2
risposte

In che modo un utente malintenzionato abusa Facebook Connect con una chiave segreta trapelata?

Sto leggendo su Facebook Connect e sembra molto simile a < a href="http://openid.net/connect/"> OpenID Connect . Sono abbastanza simili questi due che la chiave segreta di Facebook Connect è un OAuth Client Secret e quindi si applicano gli st...
posta 03.11.2013 - 20:00
2
risposte

Perché dovrei mantenere i token di accesso OAuth 2 insieme al token di aggiornamento

Questo è qualcosa che ho trovato in un paio di articoli su OAuth 2: quando si tratta di persistere token di aggiornamento nel database, alcuni autori preferiscono archiviare anche il token di accesso, o almeno menzionarlo come qualcosa che dovre...
posta 29.10.2014 - 09:49
1
risposta

Come dovrebbero i fornitori di risorse convalidare i token OAuth2?

I fornitori di risorse forniscono spesso accesso in lettura e scrittura alle risorse. Pertanto, il fornitore di risorse dovrebbe non solo convalidare il token (è scaduto? è revocato? è valido? contiene l'ambito richiesto?), dovrebbero anche c...
posta 29.12.2015 - 14:07
2
risposte

Autenticazione API mobile

Sto provando a progettare un servizio Android Analytic in cui ogni applicazione dell'utente che si registra in questo servizio deve scaricare il nostro SDK. Lo stesso SDK deve comunicare con il nostro server API. Il punto in cui mi sono imbattut...
posta 16.10.2015 - 21:46
1
risposta

È possibile implementare un nonce senza memorizzazione?

Sto cercando di implementare un modulo di autenticazione usando il client OAuth 2.0 e sto cercando di evitare di avere uno stato del server. Stavo approfondendo qualche altra domanda quando utilizzare nonce? E 'possibile avere server no...
posta 03.07.2014 - 17:14
4
risposte

'Portare la propria identità' come unica opzione di autenticazione è una pratica valida?

Questa domanda è principalmente rivolta a OpenID Connect, quando è completamente realizzata. Capisco l'avversione per l'accesso con un sito di social network, ma da quello che ho capito su OIDC, dovrebbe consentire agli sviluppatori di implem...
posta 25.06.2014 - 15:58
1
risposta

In Oauth qual è il vantaggio del token di accesso che è opaco

Perché è stata presa la decisione che il Cliente non debba essere in grado di analizzare il token di accesso? Mi sembra che se il token includesse, oltre ai campi correnti, un client_id e un id_utente, renderebbe la vita molto più semplice, i...
posta 02.05.2015 - 13:52
4
risposte

Perché ci fidiamo delle informazioni di sessione sul filo ma non di un token di accesso OAuth?

Ho dedicato molto tempo alla creazione di un'API che deve essere accessibile da un'applicazione JavaScript a pagina singola e su come renderla il più sicura possibile. Molto di quello che sto leggendo su standard come OAuth suggeriscono che n...
posta 09.12.2014 - 15:27
2
risposte

In che modo le applicazioni web ad alte prestazioni controllano l'autorizzazione per i loro contenuti?

Quindi, credo di capire la logica dietro gli standard di autorizzazione come OAuth. Il token OAuth contiene informazioni sull'utente (nome, ruolo, ecc.), Che posso usare per proteggere la mia applicazione . Riguarda l'ultima parte della fras...
posta 15.10.2015 - 14:29