Domande con tag 'openid-connect'

domande con tag
4
risposte

'Portare la propria identità' come unica opzione di autenticazione è una pratica valida?

Questa domanda è principalmente rivolta a OpenID Connect, quando è completamente realizzata. Capisco l'avversione per l'accesso con un sito di social network, ma da quello che ho capito su OIDC, dovrebbe consentire agli sviluppatori di implem...
posta 25.06.2014 - 15:58
1
risposta

Se utilizzo impropriamente OAuth 2.0 per eseguire l'autenticazione, sono a rischio?

Comprendo che OAuth non è un protocollo di autenticazione, ma un'autorizzazione (anche se il primo paragrafo su La pagina di Google OAuth 2.0 non è d'accordo ), così come: [...] authorization can be abused into some pseudo-authentication...
posta 07.06.2016 - 15:18
1
risposta

Usa OpenId Connect solo per l'autenticazione

OpenId Connect aggiunge l'autenticazione al protocollo OAuth2. OAuth2 è un protocollo utilizzato per l'autorizzazione. Ma cosa succede se sono interessato solo ad autenticare un utente? Dopo aver letto su OpenId Connect, sembra che tu abbia rice...
posta 06.03.2016 - 15:21
1
risposta

Qualsiasi scenario per l'utilizzo di entrambi, OpenID Connect e OAuth 2.0?

Dato che OpenID Connect si basa su OAuth 2.0, suppongo che tutto ciò che è possibile con OAuth 2.0 sia possibile anche con OpenID Connect. In particolare, dì che il mio sito web memorizza alcune informazioni che appartengono all'utente e impl...
posta 03.06.2016 - 02:59
2
risposte

In che modo sostituire i token Bearer con HMAC funziona in OAuth 2.0 e in che modo validare il client / server?

Questa classe di Pluralsight tratta i token Bearer , e che una delle cose che mancano a OAuth 2.0 è la convalida basata su HMAC. Altrove nei blog di thinktecture, sono chiamati token PoP (Prova di possesso) La convalida basata su HMAC impedi...
posta 10.08.2016 - 05:47
1
risposta

CORS è mai stato necessario durante qualsiasi aspetto dell'autenticazione OAuth / OpenIDConnect?

Sto osservando l'autenticazione OpenIDConnect e sto provando a determinare se "CORS" o "CORS complessi" sono mai stati sfruttati durante l'autenticazione o l'autorizzazione. Sfondo Un semplice CORS (senza preflight) implica: Metodo HT...
posta 28.12.2016 - 03:08
2
risposte

Come utilizzo CORS correttamente con OpenID Connect?

Sembra esserci una serie di domande su diversi blog, Q & A siti e commenti che richiedono varianti della domanda: How do I correctly use CORS with OpenID Connect? Il contesto di queste domande viene solitamente applicato a uno di qu...
posta 09.02.2017 - 16:07
2
risposte

Accesso Google+ - Flusso One Time Code vs Pure Server Side flow

Sto leggendo la documentazione su Google+ Accedi, più specificamente, il suo flusso sul lato server. Dice ( link ) che il flusso di codice una tantum presenta vantaggi di sicurezza rispetto al puro lato server flusso. Dice: "This one-time c...
posta 13.09.2014 - 12:01
1
risposta

Le differenze di sicurezza tra fb connect e openid connect

Ho letto molto sul motivo per cui l'oauth è sbagliato per l'autenticazione, e bisogna almeno costruirlo sopra per raggiungere un livello accettabile di sicurezza. Questo mi ha spinto a guardare i maggiori fornitori di oauth a strati - Faceboo...
posta 28.04.2017 - 19:29
1
risposta

Qualsiasi problema con l'autorizzazione di CORS su un endpoint oauth2

Sono tentato di lasciare che il mio OP OpenID Connect / Oauth2 accetti la richiesta CORS su un endpoint oauth2 dopo aver controllato l'ID cliente e la sua origine consentita corrispondono. In questo modo un RP sarebbe in grado di ottenere u...
posta 27.11.2015 - 12:48