Domande con tag 'oauth'

domande con tag
1
risposta

Autenticazione JWT e schema di autorizzazione

Stavo passando per i documenti di Oauth2 e pensavo che fosse una sorta di sicurezza permissiva, quindi ho provato a implementare token JWT con uno schema speciale come nell'immagine per un'app mobile che comunica con un'API Web. Note: non mi...
posta 12.05.2016 - 23:28
3
risposte

ADFS 2012 R2 (3.0) Convalida del token Web JSON

Il nostro cliente vorrebbe che usassimo ADFS 2012 R2 (alias 3.0) come mezzo principale per due funzioni di sicurezza nelle app interne che stiamo costruendo: L'app web (ci sono due .NET e Angular) e un'app iOS useranno il flusso OAUTH all'in...
posta 26.01.2015 - 21:11
1
risposta

Necessità di ambito nel flusso di credenziali del client OAuth

Per me, il flusso di credenziali del client è come se il client richiedesse il token di accesso per se stesso, non per conto di qualche utente. Quindi, perché al cliente piacerebbe limitare il proprio ambito? Qual è il vantaggio degli ambiti...
posta 14.06.2018 - 18:27
2
risposte

Perché usare la concessione implicita è più sicura che dare la tua chiave segreta?

L'azienda per cui lavoro ha creato un'API utilizzata dai dispositivi mobili. Ho letto su oAuth per le applicazioni mobili e da quello che ho capito si consiglia di utilizzare concessione implicita anziché incorporare la chiave segreta nella tu...
posta 12.06.2015 - 17:49
1
risposta

Perché utilizzare un proxy per nascondere le credenziali del client OAuth nelle chiamate di concessione della password?

In un articolo di novembre 2014 di Alex Bilbie, gli utenti di OAuth sono stati sconsigliati a fare inviare il client le sue credenziali ( client_id e client_secret ) quando si esegue Password proprietario risorsa concedere chiamate....
posta 22.08.2015 - 19:16
2
risposte

OAuth - Cosa succede se il token di aggiornamento viene rubato?

Sembra che non capisco ancora l'idea alla base del token di aggiornamento. Supponendo che venga utilizzato un token di accesso a breve durata. Questo gettone potrebbe essere rubato, permettendo all'aggressore di accedere alla risorsa fino a c...
posta 14.06.2017 - 10:16
3
risposte

Perché è richiesto in OAuth 2.0 che il token di aggiornamento non possa essere indovinato?

Da RFC 6749 (sezione 10.4): The authorization server MUST ensure that refresh tokens cannot be generated, modified, or guessed to produce valid refresh tokens by unauthorized parties. Non capisco perché sia necessario poiché quando il cl...
posta 22.06.2016 - 14:17
1
risposta

Come eliminare i segreti dei client OAuth2 senza tempi di inattività

Ho un'app che si basa su diversi provider OAuth2 per eseguire il polling dei dati in background per conto degli utenti, come processo in background. Per una questione di best practice, vorrei periodicamente analizzare i miei segreti dei clienti....
posta 17.06.2016 - 20:46
2
risposte

Ho bisogno di OAuth per passare una chiave API di un servizio (ora viene passata tramite copia-incolla)?

Ho un'applicazione web, diciamo http://web.app/ . È locale per ogni dato utente e accessibile senza autorizzazione. Utilizza un'API di un servizio https://service.app/ . L'utente può accedere ad esso e vedere la sua chiave API. L'utente...
posta 24.01.2017 - 16:57
1
risposta

Creare una sessione Web da un sito Web di terzi utilizzando un token oauth2 esistente

Stiamo provando a consentire a un'applicazione Web di terze parti attendibile di autenticare automaticamente gli utenti nella nostra applicazione. Abbiamo pensato di utilizzare oauth2 per questo. Nel nostro scenario forniremmo un server oauth...
posta 09.10.2015 - 13:01