Domande con tag 'oauth'

domande con tag
1
risposta

Funzionerebbe per proteggere un cookie con un token OAuth?

Attualmente sto provando a configurare uno schema di autenticazione OAuth 2.0 per proteggere alcuni webservice stateless REST. Questi servizi gestiscono informazioni sensibili e il supporto OAuth è un requisito. Il problema è che l'applicazi...
posta 15.10.2015 - 14:10
2
risposte

Cambiare la mia password dopo l'accesso OAuth nell'app mobile aiuta a ridurre i rischi?

Quando usi un'app mobile che richiede l'accesso a Google OAuth, non ti puoi fidare completamente dell'app di terze parti perché non puoi sapere quale URL sta usando la webview. Chissà se non stanno memorizzando il mio nome utente e la password s...
posta 20.01.2015 - 17:54
1
risposta

ADFS 3.0 OAuth2.0 contro le applicazioni client

ADFS 3.0 non supporta il flusso del client di concessione implicita di Oauth2, né supporta i segreti del client. Le indagini iniziali suggeriscono che non è sicuro utilizzare il flusso di autorizzazione del codice autorizzato da un'applicazio...
posta 03.02.2016 - 17:24
1
risposta

È pericoloso condividere pubblicamente un token senza scope?

Se un servizio ti consente di creare token OAuth senza alcun ambito (consentendo 5k richieste API / ora per risorse pubbliche), è pericoloso condividere questi token pubblicamente? L'ovvio problema che vedo è che chiunque sarà in grado di uti...
posta 15.01.2016 - 06:24
1
risposta

Quando si implementa un provider OAuth, qual è la giusta granularità per un "ambito"?

Se sono un fornitore OAuth e voglio consentire all'utente di limitare le app solo a un sottoinsieme di risorse (ad esempio, solo le risorse nella cartella X), qual è il meccanismo giusto per farlo? Sembrerebbe che gli Scopes lo siano, ma per que...
posta 10.03.2014 - 22:02
1
risposta

Utilizzo di un token oauth2 di gmail per accedere all'e-mail Web

Ho dimenticato la mia password per un vecchio account gmail. Ho provato il percorso regolare di recupero della password di gmail: rispondere alle domande, continua a tornare alle domande, quindi penso che mi stia sbagliando, l'utilizzo del ripri...
posta 08.12.2016 - 14:54
1
risposta

Le differenze di sicurezza tra fb connect e openid connect

Ho letto molto sul motivo per cui l'oauth è sbagliato per l'autenticazione, e bisogna almeno costruirlo sopra per raggiungere un livello accettabile di sicurezza. Questo mi ha spinto a guardare i maggiori fornitori di oauth a strati - Faceboo...
posta 28.04.2017 - 19:29
2
risposte

Lo scadere del token di aggiornamento OAuth nello stesso momento in cui il token di accesso ha qualche utilità? O è solo un teatro di sicurezza?

Stiamo integrando con un fornitore che ha un'implementazione OAuth 2.0 unica (per noi): con ogni richiesta di aggiornamento, ci inviano un nuovo token di aggiornamento insieme al token di accesso. Dicono che questo è stato richiesto come part...
posta 09.08.2016 - 18:47
1
risposta

Oauth2 come funziona (client Android)

Ho letto molto su Oauth2 ma non riesco ancora a capire, come funziona. Spiegherò come faccio a capire questo protocollo. Ci sono alcuni personaggi principali nell'interazione con il protocollo Oauth. Utente, applicazione, provider di risorse...
posta 05.06.2015 - 18:45
1
risposta

È sicuro memorizzare i token bearer in un iframe e / o passarli alla finestra padre?

Non sono un esperto di sicurezza, quindi spero che alcuni di voi siano in grado di dirmi se ci sono dei difetti nella progettazione della sicurezza per la mia app web. Spero di essere in grado di spiegarlo abbastanza chiaramente da farmi capire...
posta 27.06.2015 - 08:38