Domande con tag 'oauth'

1
risposta

Dove archiviare i token di accesso e aggiornamento sull'app Web del client ASP.NET - chiamando un'API REST

Ho creato un'API Web in ASP.NET che funge da punto di ingresso in un database SQL Server per i dati del report. Questo servizio ha un endpoint "token" che autentica un utente tramite l'identità ASP e restituisce un accesso di 20 minuti e un toke...
posta 18.09.2015 - 19:09
1
risposta

Ha senso implementare OAuth quando non sono coinvolte terze parti

Possiedo un'API REST sul lato server e un'applicazione Web distinta che chiamerebbe tali API. Voglio proteggere le mie chiamate API. Dopo alcune letture, voglio implementare il meccanismo OAuth 1.0a sul lato server. In effetti, trattare co...
posta 14.02.2014 - 14:31
1
risposta

Cronologia dispari del flusso del dispositivo OAuth 2

Il flusso del dispositivo OAuth 2 ha una cronologia dispari. Si trova in prime versioni della RFC, ma è stato poi rimosso apparentemente senza una spiegazione Potrei trovare Recentemente, una nuova bozza è stata proposta specificamente per r...
posta 15.06.2016 - 04:10
3
risposte

Protezione di un'API REST multi-database e multi-database

Sto cercando di migliorare la sicurezza di un'API REST esistente a cui si accede tramite SSL. Il servizio web è multi-tenant, in modo tale che ogni inquilino abbia un TenantId assegnato. Il problema che sto affrontando può essere riassunto co...
posta 23.01.2015 - 15:27
2
risposte

Elementi essenziali da considerare prima di esternalizzare l'autenticazione con OpenID, OAuth o SAML

È chiaro che non esiste un insieme coerente di funzionalità tra nessuno dei provider di autenticazione più diffusi. Di seguito è riportato un tentativo di aggregare le somiglianze e le differenze che ho notato, ma gradirei il tuo consiglio su...
posta 09.10.2011 - 08:01
2
risposte

OAuth2 e autenticazione

Vedo molta confusione su OAuth2 e sull'autenticazione, quindi ho creato questa domanda nella speranza di eliminare parte della confusione. Quindi, parliamo dei seguenti punti: Qual è la differenza tra autenticazione e autorizzazione? Che c...
posta 01.04.2016 - 16:57
2
risposte

OAuth token di accesso vs chiave di sessione

C'è qualche vantaggio rispetto alle sessioni basate su cookie OAuth (stabilite tramite nome utente / password) sotto le seguenti ipotesi? Esiste solo un client legittimo per il servizio Il segreto del client OAuth è stato compromesso (quin...
posta 15.09.2012 - 02:49
1
risposta

Sicurezza di IFTTT

IFTTT sembra un servizio potente ma sono anche molto scettico sulla sua sicurezza. Qualcuno potrebbe darmi una breve carrellata di come pensi che funzioni e quali sono le implicazioni per la sicurezza? Ho fatto alcune ricerche personalmente ma...
posta 17.05.2015 - 12:40
1
risposta

Come eseguire l'autorizzazione basata sui ruoli con OAuth2 / OpenID Connect?

Sto cercando di usare OAuth2 per l'autenticazione / l'autorizzazione, ma dopo aver letto molto, sono confuso ... Sto cercando di capire come OAuth e OpenIDConnect si relazionano tra loro e come posso usarli esattamente per AUTORIZZO. Da quan...
posta 09.05.2016 - 15:32
1
risposta

Perché non viene incoraggiata PKCE per le app a pagina singola?

Molti servizi oggi raccomandano ancora il flusso implicito per uno scambio di token OpenID Connect / Oauth2 durante lo sviluppo di app a singola pagina. (Vedi Okta , Google , Auth0 ) Alcune nuove indicazioni indicano come utilizzare il f...
posta 03.04.2018 - 21:56