Le migliori oauth

6

risposte

Qualcuno può spiegare la vulnerabilità "Covert Redirect" in OAuth e OpenID?

CNet sta segnalando che tutti OpenID e OAuth i siti sono vulnerabili a un attacco chiamato "Covert Redirect". Che cos'è questo attacco, come funziona e come utente finale, come posso mitigare il rischio?

posta 02.05.2014 - 16:54

5

risposte

Il posto migliore per archiviare i token di autenticazione lato client

Quando i miei utenti sono autenticati ricevono un token di autenticazione, ho bisogno di usare questo token di autenticazione per autorizzare alcune chiamate WebAPI asp.net. Per fare questo ho bisogno di aggiungere il token alla testa di quella...

posta 03.02.2015 - 10:45

2

risposte

OAuth 2 vs OpenID Connect per proteggere l'API

Sto sviluppando un'API Web che supporterà diverse applicazioni: un sito Web, una o più applicazioni mobili complementari e possibilmente diverse applicazioni di terze parti. Ci si aspetta che ogni applicazione ottenga un token di accesso dal ser...

posta 26.07.2015 - 20:02

3

risposte

OAuth2 Cross Site Request Forgery e parametro di stato

Il link dice: The client MUST implement CSRF protection [...] typically accomplished by requiring any request sent to the redirection URI endpoint to include a value that binds the request to the user-agent's authenticated state (e.g. a h...

posta 14.09.2012 - 12:17

3

risposte

Qual è lo scopo del controllo redirect_uri di OAuth 2.0?

Il meccanismo del codice di autorizzazione della specifica OAuth 2.0 include il controllo URI di reindirizzamento dal sito a cui viene effettuato il reindirizzamento. Vedi i passaggi D ed E nella sezione 4.1 delle specifiche . Inoltre, la sezi...

posta 21.10.2013 - 20:13

3

risposte

Insidie nell'utilizzo di OAuth per le applicazioni mobili

OAuth è una soluzione di autorizzazione popolare per applicazioni Web e applicazioni mobili. Quali sono le insidie dell'utilizzo di OAuth in questi due scenari (come un'applicazione web che fornisce accesso OAuth alle informazioni dei miei ut...

posta 14.11.2010 - 20:52

3

risposte

Quanto sono sicuri i token in scadenza e i token di aggiornamento?

Nei commenti di una domanda su StackOverflow, OAuth2 Perché scadono i token di accesso? , le persone mettono in discussione la sicurezza dei token di aggiornamento. Questo commento è come mi sento: So it provides some protection from pa...

posta 29.04.2015 - 13:04

3

risposte

Perché è una cattiva idea usare semplicemente oauth2 per l'autenticazione?

TL; DR : quali sono le implicazioni sulla sicurezza dell'uso di oauth2 per l'autenticazione? Sto costruendo un'app (sito A) che consente agli utenti di eseguire operazioni su un altro sito Web (sito B) tramite un'interfaccia più semplice....

posta 05.08.2016 - 17:31

6

risposte

Protezione delle applicazioni Web con solo un proxy inverso

Per proteggere la sua pubblica API HTTP (il cosiddetto REST), il mio cliente mi chiede di implementare un semplice proxy inverso HTTP che verificherà (OAuth 2.0) i token di accesso e inoltrerà le richieste HTTP ai servizi Web interni per l'elabo...

posta 20.07.2015 - 11:27

1

risposta

In che modo JTI impedisce la riproduzione di una JWT?

Secondo il RFC JWT, un token JWT può opzionalmente avere un jti che io interpreto come un ID univoco per un token JWT. Sembra che un UUID sia un buon valore per un jti. La RFC afferma che il jti può essere usato per impedire che il JWT venga rip...

posta 30.05.2016 - 20:34

Domande con tag 'oauth'