Domande con tag 'oauth'

domande con tag
0
risposte

Come generare e archiviare in modo sicuro una password dai dati utente di Google OAuth (per un'altra API REST)

Ho un'app Web, in cui gli utenti eseguono l'accesso con Google (OAuth 2.0). Questa app Web utilizza un'API REST (figo.io) in background, quindi devo creare un utente API con credenziali. Ora ho il seguente problema: devo generare un nome uten...
posta 07.11.2016 - 15:11
0
risposte

OpenID Connect Standard: Autorizzato Azp Contradiction

Nelle specifiche OpenID Connect la rivendicazione azp (parte autorizzata) sembra avere una contraddizione . Nella sezione di definizione del token ID 2 dice: azp OPTIONAL. Authorized party - the party to which the ID Token was i...
posta 19.12.2016 - 23:39
1
risposta

Se utilizzo impropriamente OAuth 2.0 per eseguire l'autenticazione, sono a rischio?

Comprendo che OAuth non è un protocollo di autenticazione, ma un'autorizzazione (anche se il primo paragrafo su La pagina di Google OAuth 2.0 non è d'accordo ), così come: [...] authorization can be abused into some pseudo-authentication...
posta 07.06.2016 - 15:18
0
risposte

SSO basato su token per domini multipli per richieste API back-end

Sono in procinto di configurare SSO per un servizio che sto creando. Dopo aver esaminato le soluzioni, non ho trovato nulla che si adatta esattamente a ciò di cui abbiamo bisogno. Sto cercando di accertarmi da un punto di vista della sicurezza c...
posta 16.05.2016 - 00:02
0
risposte

Qual è la differenza nell'implementazione tra HybridAuth e OpenID Connect?

Sto installando un login CMS condiviso tra due organizzazioni, un blog per comunità progettato per facilitare l'accesso e l'altro è un'applicazione PHP personale per un'organizzazione non profit correlata, per tenere traccia dell'iscrizione e co...
posta 19.09.2016 - 08:10
0
risposte

SAML, OAUTH, XACML oh mio (Autorizzazione)!

Sfortunatamente, dopo aver usato diversi prodotti SSO / IAM a livello di 'lite touch' a 'integrazione profonda', sono ancora rimasto insoddisfatto, quindi vado a fare la domanda più semplice che posso: Considerate più applicazioni (service pr...
posta 09.05.2016 - 22:23
0
risposte

Sicurezza dell'ambito di accesso completo dell'API di GMail

Recentemente sono spuntati sempre più servizi online per aiutare a gestire la posta di Gmail, come Boomerang, Gmelius e molti altri. Per funzionare correttamente richiedono un ambito di accesso completo all'API di Gmail, che consente loro di:...
posta 22.06.2016 - 09:33
0
risposte

Perché devo reindirizzare per inviare il token di autenticazione OAuth2 esterno al client?

In uno scenario OAuth2: l'utente ha confermato la sua identità, consente all'app di accedere ai suoi dettagli server ha ottenuto il token di accesso esterno Intendo rispondere direttamente con una local access token anziché il rein...
posta 29.06.2016 - 17:18
0
risposte

OAuth 2.0 con webhooks

Sto implementando un flusso di tipo OAuth2 usando webhook tra due webservices (nessun browser / user-agent coinvolto). Il server di autenticazione concederà l'accesso in base all'URL del webhook al quale deve essere restituito il risultato....
posta 30.07.2016 - 20:08
1
risposta

Concessione password proprietario risorsa OAuth 2.0 - Gestione del token di accesso al momento della disconnessione

Sono nuovo di OAuth 2.0. Ho usato il server PHP OAuth di BShaffer sulla concessione del codice di autorizzazione e comprendo che l'applicazione client può avere il suo token OAuth separato dall'autenticazione della sessione, ovvero, se un utente...
posta 26.04.2016 - 03:35