Domande con tag 'oauth'

domande con tag
2
risposte

Come memorizzare in modo sicuro i token bearer sul server?

Immagina di avere un servizio che implementa un flusso di OAuth 2.0 per consentire agli utenti finali di accedere ad app di terze parti e autorizzare tali app a utilizzare i dati del tuo servizio tramite alcune API. Dopo aver autenticato con su...
posta 21.07.2015 - 23:10
1
risposta

API che non consente di invalidare la sessione sul lato server - come renderla più sicura?

Sto scrivendo un'app intorno a un'API REST che non consente al server di invalidare una sessione, ovvero non esiste un endpoint come logout che renderà invalido il cookie che la mia app utilizza da ora in poi. Quindi vedo che se un hack...
posta 17.07.2015 - 15:56
1
risposta

Come conservare il client segreto in sicurezza sulla base dell'applicazione in Windows?

Vorrei memorizzare dati importanti del cliente (ad esempio password, token OAuth) in modo che siano accessibili solo da un'applicazione (separazione sulla base dell'applicazione). Il meccanismo deve essere trasparente per l'utente - una protezio...
posta 05.11.2014 - 13:00
1
risposta

È sicuro utilizzare lo stesso token come token di aggiornamento e token di accesso?

Per quanto comprendo in OAuth c'è un token di aggiornamento e c'è un token di accesso. Il token di accesso non può essere revocato ma di breve durata e al prossimo accesso di aggiornamento non ci sarà alcun token di accesso se revocato. Ho una s...
posta 25.01.2016 - 10:50
1
risposta

Devo abilitare l'accesso di Google Auth per impostazione predefinita per i miei utenti?

Ho implementato l'accesso di accesso Google (OAuth2) sul mio sito web. Corrisponde agli utenti via e-mail, ad esempio se la tua e-mail è la stessa in Google come nel nostro sistema e hai abilitato Google Auth sul mio sito web, hai effettuato l'a...
posta 16.12.2015 - 17:34
1
risposta

Memorizzazione del token di autenticazione sul dispositivo Android

Il mio server mi sta inviando l'accesso e un token di aggiornamento durante l'accesso. Devo memorizzarli nelle preferenze condivise di Android crittografandoli? Voglio conoscere la best practice per l'archiviazione di questi token poiché la memo...
posta 23.10.2017 - 07:14
1
risposta

Se un servizio che ho registrato con FB / Twitter / G + viene violato, quale danno può essere fatto con il token oauth?

Caso in questione, TrueCaller. Ho effettuato l'accesso a TC utilizzando un account Twitter proxy. Presumo che, come parte del processo di autenticazione, un access_token debba essere stato salvato da TC. Se gli hacker hanno questo token...
posta 25.07.2013 - 08:15
2
risposte

Perché OAuth2 richiede credenziali client in un'intestazione di autorizzazione?

Nella sezione 2.3.1 del Framework di autorizzazione di OAuth 2.0 che afferma: The authorization server MUST support the HTTP Basic authentication scheme for authenticating clients that were issued a client password. Continua a dire:...
posta 14.12.2013 - 10:24
2
risposte

Autenticazione SDK di Facebook per iOS

Il SDK per iOS di Facebook richiede solo il tuo pacchetto & ID app della tua app iOS per abbinarli a quelli della tua app di Facebook. Se trovo l'ID app di un'app, non posso semplicemente creare un'altra app iOS con l'ID bundle di quell...
posta 12.02.2014 - 16:49
1
risposta

Oauth Consumer Secret?

Utilizzando OAuth hai una chiave utente e un segreto del consumatore per identificare la tua applicazione e l'utente fornisce un token di accesso OAuth e un segreto per autenticare l'accesso dell'applicazione al proprio account, ad esempio Twitt...
posta 11.10.2013 - 16:41