Domande con tag 'openid-connect'

2
risposte

Va bene scrivere il token OidC Bearer per registrare?

Durante lo sviluppo abbiamo aggiunto ai registri degli errori i dettagli delle richieste http, comprese le intestazioni, per comprendere meglio l'analisi degli errori. Il nostro architetto ha sottolineato che non dovremmo inserire informazioni s...
posta 17.09.2017 - 14:33
3
risposte

OpenID Connect: perché utilizzare il flusso del codice di autorizzazione?

Ho una domanda sull'implementazione di OpenID Connect Speravo di poter ricevere aiuto. Comprendo i diversi flussi e ottenendo che il flusso del codice di autorizzazione sia buono perché consente alle credenziali del client e alla comunicazione d...
posta 25.03.2015 - 13:08
1
risposta

Google Open ID connect e ID token

Mi chiedo se è sicuro inviare "token ID", che è uno degli elementi che risultano dall'autenticazione di un utente utilizzando Google Open Id Connect, al client e utilizzarlo per un'ulteriore autenticazione. L'altro elemento significativo è il...
posta 20.12.2013 - 05:28
2
risposte

Come può un utente finale verificare l'autenticità del modulo di accesso di un provider di autenticazione di terze parti

Considerato l'uso onnipresente di provider di autenticazione di terze parti nelle app Web oggi, in che modo gli utenti finali possono verificare l'autenticità dei moduli di accesso che raccolgono le loro credenziali? Cosa deve impedire a un sito...
posta 13.01.2018 - 20:37
1
risposta

Perché OpenID Connect usa il token id come parametro di querystring al logout?

OpenID Connect, nel flusso implicito, restituisce il token id come #fragment sull'URI di ritorno in modo specifico in modo che il token ID non venga registrato nei log del server web. Tuttavia, il logout di OpenID Connect specifica un paramet...
posta 23.11.2016 - 12:02
1
risposta

OAuth: accesso di lunga durata nei sistemi downstream - come aggiornare il token?

In caso di OAuth2 e OpenID Connect utente autorizzato AppA per accedere al servizio AppB. Ora AppB deve accedere ad AppC e utilizza il token bearer ricevuto da AppA (supponiamo che lo scope di quel token includesse sia B & C): AppA -Bea...
posta 03.03.2017 - 07:40
1
risposta

In OpenId Connect, perché non vengono richieste richieste incluse nel token di identificazione?

Nel flusso OpenId Connect Implict, dopo che il server di autorizzazione ha autenticato l'utente e l'utente ha concesso al client l'accesso alle richieste richieste, un token ID viene restituito al client. Questo token di identificazione conti...
posta 15.06.2015 - 17:52
0
risposte

Esiste un caso d'uso per verificare la firma di un token_id utilizzando una js-app o un'app nativa

Diciamo che sto sviluppando un'applicazione basata su client per android / ios o un'applicazione javascript per qualsiasi browser. Per identificare un utente, userò OpenIdConnect con il flusso implicito. L'IDP fornirà id_token e access_token...
posta 09.01.2018 - 17:03
0
risposte

c_hash claim in id_token e IdP MixUp mitigation

La mia comprensione è che la rivendicazione c_hash in id_token viene utilizzata per prevenire gli attacchi IdPMixUp ( link ). Ho due dubbi: l'IdP MixUp è rilevante in primo luogo? Alcune fonti sembrano ritenere che non sia pertinente ( li...
posta 21.08.2017 - 16:05
0
risposte

Utilizzo della concessione del codice di autorizzazione senza utilizzare i cookie?

Ho letto questo argomento per mesi e sembra che l'intera faccenda possa convergere su ciò che riassumo di seguito. Sto cercando di arrivare al più ideale: OAuth2 OpenID Connect SPA / client mobile JWT Soluzione che ha una qualità di...
posta 07.10.2017 - 20:40