Domande con tag 'oauth'

domande con tag
0
risposte

Utilizzo della concessione del codice di autorizzazione senza utilizzare i cookie?

Ho letto questo argomento per mesi e sembra che l'intera faccenda possa convergere su ciò che riassumo di seguito. Sto cercando di arrivare al più ideale: OAuth2 OpenID Connect SPA / client mobile JWT Soluzione che ha una qualità di...
posta 07.10.2017 - 20:40
1
risposta

Utilizzo di OAuth come sicurezza per i siti di e-commerce

Ho bisogno di aiuto per comprendere i rischi per la sicurezza se voglio utilizzare OAuth 2.0 (Facebook, Twitter e G +) come provider di accesso standard per un sito E-Commerce. Tenendo presente che non memorizzerò le informazioni della carta di...
posta 03.06.2014 - 00:58
1
risposta

Perché il preflight CORS non è disponibile per le richieste POST quando Content-Type è application / x-www-form-urlencoded

In oauth2 per l'applicazione a singola pagina (SPA), possiamo revocare i token di accesso del tipo di concessione implicita utilizzando una richiesta Ajax (questo non è raccomandato ora). Ho provato a fare una richiesta come di seguito da un tal...
posta 08.06.2018 - 09:35
2
risposte

Qual è la differenza tra le chiavi API e i token API?

Da tutta la ricerca che ho fatto, ho trovato che le chiavi API sono meno sicure dei token di accesso (con l'uso di oAuth) e dovrebbero essere utilizzate solo a scopo di monitoraggio. Ma da quello che ho capito, il server genera entrambi. Quin...
posta 14.06.2017 - 09:58
4
risposte

Come può un server delle risorse OAuth2 collegare un token di accesso all'utente che lo ha autorizzato a impedire l'accesso non autorizzato ad altre risorse utente?

Sarei grato se qualcuno potesse chiarire se, in base alla RFC OAuth2 , il server delle risorse potrebbe dedurre utente associato a un token di accesso o no, o anche se è previsto. Supponiamo che: Il server delle autorizzazioni e il se...
posta 05.12.2018 - 08:49
1
risposta

Perché Google oauth2 non fornisce un token di aggiornamento per le applicazioni lato client?

Ho letto la documentazione di oauth2 di Google per le applicazioni lato client . Sono stato sorpreso dal fatto che in nessun posto menzioni i token di aggiornamento. Inoltre, i loro esempi suggeriscono che access_token ha un TTL predefinit...
posta 24.12.2014 - 10:20
1
risposta

OAuth + Confused Deputy + access token verification + state parameter

L'articolo "Uso di OAuth 2.0 per l'applicazione sul lato client" di Google all'indirizzo link afferma che il cliente DEVE convalidare tutti accedere a token per verificare che fosse il destinatario previsto del token di accesso, al fine di evi...
posta 09.02.2015 - 22:35
1
risposta

Utilità di bcrypt (UUIDv4 ())

Uno dei miei colleghi sta lavorando alla protezione degli ID client e dei segreti OAuth 2 per il nostro server OAuth e ha ideato questo schema in cui non solo avrebbe utilizzato UUID v4 per generare valori casuali, ma anche crittografarli. Un al...
posta 11.07.2014 - 15:53
2
risposte

OAuth - In che modo il server di risorse convalida il token di accesso non per altri server di risorse?

Facciamo un esempio dove ci sono due server di risorse - RS1 e RS2 e c'è un server di autorizzazione - AS. Entrambi i server di risorse - RS1 e RS2 utilizzano il server di autorizzazione - AS Se un client richiede un token di accesso per R...
posta 21.06.2018 - 16:36
1
risposta

iframe basic auth o token security

Abbiamo due siti, entrambi sono affidabili. Sul sito1 memorizziamo il nome utente e la password per l'utente per site2. Facciamo chiamate api sul backend di site1 a site2 tramite auth di base (su tutto HTTPS). Nonostante l'insicurezza...
posta 27.07.2016 - 20:07