Domande con tag 'oauth'

domande con tag
1
risposta

Controllo di sicurezza OAuth2 Autorizzazione e server di risorse

Sto per avviare un API Web utilizzando OAuth2 per l'autenticazione (codice di autorizzazione, flussi di credenziali implicite e client). Il protocollo è implementato utilizzando la libreria DotNetOpenAuth v4.3. Sebbene una base di codice un po '...
posta 08.03.2015 - 20:53
1
risposta

Come proteggere OAuth su un sito Web HTTP [chiuso]

Voglio utilizzare OAuth da una fonte famosa (Facebook / Google / GitHub) come meccanismo di accesso per gli utenti (per semplicità e per evitare di memorizzare password). Quali sono i rischi per la sicurezza? Ho davvero bisogno di HTTPS / TLS...
posta 08.05.2017 - 13:00
2
risposte

Non è oAuth più debole delle password tradizionali

Comprendo la necessità di oauth per l'accesso programmatico alle apis, ecc. considerando che le password sono utilizzate per una maggiore autenticazione a livello umano. Tuttavia, quando memorizziamo le password, noi (si spera) salano + li cance...
posta 30.01.2016 - 22:15
1
risposta

Protezione di OAuth / OpenID Connetti l'identità in un cookie per un facile accesso

Ho un sito web che utilizza Azure Active Directory o Google + per l'accesso. Eseguo un flusso di accesso OAuth2 e vengono restituiti gli e-mail degli utenti insieme ai loro token per me dal loro servizio di identità. L'indirizzo email del...
posta 08.10.2014 - 22:59
3
risposte

Flusso implicito OAuth e problema del delegato confuso

Sto leggendo su Google OAuth e sul flusso implicito. Nei documenti Google indica che il token di accesso ricevuto utilizzando il flusso implicito deve essere convalidato, altrimenti l'applicazione potrebbe essere vulnerabile a "confuso problema...
posta 25.08.2014 - 12:19
1
risposta

Token di accesso JWT: troppe informazioni?

Recentemente ho riscontrato la pratica dei sistemi che utilizzano JWT come token di accesso. Ho una preoccupazione e non sono sicuro che sia infondato: Associo le JWT al protocollo OpenID Connect, dove vengono utilizzati come token ID. Hanno...
posta 05.12.2018 - 11:33
3
risposte

Protezione di un'API di riposo con un client

Sto per sviluppare un'API REST che avrà un solo "utente" e sono curioso di sapere come implementare la sicurezza per renderla il più sicura possibile (sperando di implementare un protocollo che non conosco attualmente). Quindi inizialmente pe...
posta 27.06.2017 - 15:03
1
risposta

Riautenticazione di un utente per azioni sensibili tramite OpenID

Normalmente, quando esegui azioni sensibili su un sito web, come cambiare la password o abilitare l'autenticazione a due fattori, devi reinserire la password, presumibilmente per proteggerti contro il dirottamento di sessione (a causa di interce...
posta 10.09.2016 - 15:40
3
risposte

Aggiornamento del token di accesso con token di accesso

Effettua l'invio per consentire a un'app client web (JavaScript) di aggiornare Toke di accesso utilizzando Token di accesso (non Token di aggiornamento ) che sta per scadere? Quali sono gli svantaggi dell'utilizzo di questo processo?     
posta 09.09.2016 - 22:03
1
risposta

Best practice per proteggere le API aperte dal furto di quote

So che appKey non è un mezzo per autenticare le applicazioni. Ma mi chiedo quali sono le migliori pratiche per evitare il furto di quote per le API aperte, che non sono associate a nessun account utente. L'API di Google Maps potrebbe essere...
posta 18.07.2016 - 09:18