Domande con tag 'openid-connect'

6
risposte

Perché utilizzare OpenID Connect invece di OAuth2 semplice?

Ho appena iniziato a utilizzare OAuth 2.0 come modo per autenticare i miei utenti. Funziona alla perfezione: utilizzo solo l'API identità / profilo di ciascun provider per ottenere un indirizzo email convalidato dell'utente. Ora ho letto di...
posta 21.06.2013 - 08:18
7
risposte

Differenza tra OAUTH, OpenID e OPENID Connetti in termini molto semplici?

Sono molto confuso dal gergo difficile disponibile nel web su OAUTH, OpenID e OPENID Connect. Qualcuno può dirmi la differenza in parole semplici.     
posta 29.10.2013 - 14:31
2
risposte

OAuth 2 vs OpenID Connect per proteggere l'API

Sto sviluppando un'API Web che supporterà diverse applicazioni: un sito Web, una o più applicazioni mobili complementari e possibilmente diverse applicazioni di terze parti. Ci si aspetta che ogni applicazione ottenga un token di accesso dal ser...
posta 26.07.2015 - 20:02
3
risposte

Quando usi OpenID vs. OpenID Connect

Possono essere usati insieme? .... o sono due protocolli separati che possono o non possono essere utili a seconda del contesto? Il motivo per cui lo chiedo è perché sto cercando di implementare quanto segue: L'utente "Bob" passa a un cli...
posta 01.11.2013 - 23:42
1
risposta

Come eseguire l'autorizzazione basata sui ruoli con OAuth2 / OpenID Connect?

Sto cercando di usare OAuth2 per l'autenticazione / l'autorizzazione, ma dopo aver letto molto, sono confuso ... Sto cercando di capire come OAuth e OpenIDConnect si relazionano tra loro e come posso usarli esattamente per AUTORIZZO. Da quan...
posta 09.05.2016 - 15:32
1
risposta

Perché non viene incoraggiata PKCE per le app a pagina singola?

Molti servizi oggi raccomandano ancora il flusso implicito per uno scambio di token OpenID Connect / Oauth2 durante lo sviluppo di app a singola pagina. (Vedi Okta , Google , Auth0 ) Alcune nuove indicazioni indicano come utilizzare il f...
posta 03.04.2018 - 21:56
1
risposta

OIDC Flow per SPA e RESTful API

Sto creando una app a pagina singola (SPA) e una API RESTful . L'API ha bisogno di sicurezza: alcuni utenti possono effettuare chiamate solo su determinati endpoint. Ho un provider di identità esterno (IdP (Okta)) che voglio che l'utente si a...
posta 13.07.2016 - 06:54
1
risposta

Perché non riesco a utilizzare la modalità di risposta alla query con il tipo di risposta id_token (flusso "implicito")?

Anche se penso che OpenID 2.0 sia un protocollo di autenticazione più pulito e migliore di OpenID Connect, devo implementare un IdP OpenID Connect. Un punto che mi piace in OpenID 2.0 è che l'IdP può restituire un'identità firmata al Relying...
posta 15.03.2017 - 14:17
1
risposta

Openid connect nonce replay attack

La specifica di connessione openid aggiunge un parametro nonce all'endpoint autorizza, che deve essere ripetuto come rivendicazione nel token_id. Afferma che lo scopo di questo parametro è impedire attacchi di riproduzione e ha alcuni suggerimen...
posta 06.01.2017 - 20:15
2
risposte

Scopo della convalida nonce nel flusso implicito OpenID Connect

La specifica OpenID Connect richiede client di flusso implicito per generare e convalidare un nonce: String value used to associate a Client session with an ID Token, and to mitigate replay attacks. Quali attacchi di replay sono quell...
posta 12.02.2016 - 20:20