Domande con tag 'oauth'

domande con tag
2
risposte

È sicuro per gli utenti della mia API "Accedi con GitHub" usando passaport-github?

Comprendo che OAuth2 è stato progettato per delegare le autorizzazioni di autorizzazione a risorse specifiche, è solo non un protocollo di autenticazione . Tuttavia, lo stato passport-github README , This module lets you authenticat...
posta 23.10.2016 - 08:25
1
risposta

Restituisce Access-Control-Allow-Origin: * indebolisce la sicurezza delle risposte JSON GET?

La raccomandazione CORS W3C afferma: Certain types of resources should not attempt to specify particular authorized origins, but instead either deny or allow all origins. ... 3. A GET response whose entity body happens to pa...
posta 16.10.2013 - 12:23
1
risposta

Progetta una webapp che usi OAuth, ma con token che non possono essere usati dall'operatore?

Mi piacerebbe creare una webapp che permetta agli utenti di OAuth with Stack Exchange , in modo che possano eseguire azioni come votare attraverso l'app. Tuttavia, a un certo punto sono bloccato: so come eseguire OAuth, ma molti utenti non v...
posta 11.02.2014 - 19:22
1
risposta

OAuth significa effettivamente consentire a un'app di fare tutto come me?

Alcuni provider OAuth (come Google o Facebook) concedono limitati privilegi alle app di terze parti e lo dichiarano chiaramente nella pagina di autorizzazione. Ad esempio, dicono che un'app può vedere chi sei e la tua lista di amici, ma non pubb...
posta 30.10.2015 - 11:01
2
risposte

Che cosa usare come 'stato' nel flusso di lavoro del codice di autorizzazione OAuth2 Grant

Uso la protezione csrf nella mia app Web. Ora sto pianificando l'attivazione di un flusso di lavoro di concessione del codice di autorizzazione OAuth2, a partire da un modello statico aperto in una nuova finestra del browser utilizzando win...
posta 30.10.2015 - 16:40
1
risposta

Modello di progettazione API - Crittografia lato client

Attualmente sto progettando un modello API da utilizzare. Un utente avrà un 'secret_api_key' e un 'public_api_key'. Manderanno una richiesta al mio server con la chiave pubblica, i dati del modulo e poi un hash. L'hash è i dati del modulo critto...
posta 27.11.2012 - 14:08
2
risposte

Accesso multi sottodominio per contenuto, sicurezza di primavera per main

Illustrazione: mainsite.com e contentsite.com sono entrambi sviluppati per la stessa compagnia da due team. avremo login etc su mainsite.com contentite.com avrà alcuni contenuti che non sono disponibili per gli utenti che non hanno registrato. M...
posta 27.07.2014 - 14:12
1
risposta

Il server di autenticazione deve essere separato dal server di risorse quando si utilizza OAuth 2.0?

Sto cercando di implementare OAuth 2.0 e ho notato nelle specifiche che menzionano due server: un server di autenticazione per passare i token di accesso e un server di risorse per utilizzare i token di accesso. La mia domanda è, quanto è imp...
posta 29.06.2016 - 14:31
1
risposta

autenticazione account oauth2

Immagina di aver protetto la tua applicazione con oauth2 e diversi fornitori di oauth. Ora immagina qualcuno che utilizza il provider A con l'indirizzo email@@@@@@@@ esempio per accedere. La prossima volta, qualcuno utilizzerà il provider...
posta 13.06.2013 - 08:41
1
risposta

CORS è mai stato necessario durante qualsiasi aspetto dell'autenticazione OAuth / OpenIDConnect?

Sto osservando l'autenticazione OpenIDConnect e sto provando a determinare se "CORS" o "CORS complessi" sono mai stati sfruttati durante l'autenticazione o l'autorizzazione. Sfondo Un semplice CORS (senza preflight) implica: Metodo HT...
posta 28.12.2016 - 03:08