Domande con tag 'openid-connect'

domande con tag
1
risposta

Why not oAuth for Authentication - AKA cosa c'è di male in OpenID Connect [duplicato]

Ho letto molte domande e risposte su questo forum affermando che oAuth è per l'autorizzazione, OpenID è per l'autenticazione e più di alcune di esse dicono che OpenID Connect fornisce l'autenticazione abusando dell'autorizzazione oAuth. Per...
posta 22.01.2015 - 09:22
1
risposta

flusso ibrido OIDC

Sto cercando di capire il flusso ibrido di OIDC. Ho ragione nel ritenere che venga fatta una richiesta di autenticazione all'endpoint di autorizzazione, che quindi risponde con il codice di autorizzazione, il token id e il token nel frammento di...
posta 24.08.2018 - 11:38
1
risposta

Come gestire correttamente i diversi meccanismi di accesso utente?

Mi chiedo se sia possibile gestire un meccanismo di accesso che dipende dall'identificatore dell'utente. Ad esempio, l'utente può avere accesso usando OpenId, OAuth o token. Ma come possiamo "aiutare" l'utente a determinare quale meccanismo p...
posta 08.10.2018 - 16:27
0
risposte

OAuth2 Flusso implicito. Protezione aggiuntiva per access_token dall'intercettazione

Abbiamo un'applicazione JavaScript di una pagina che autentica l'utente sul nostro server usando il protocollo OAuth 2.0 (e il componente aggiuntivo AddId-Connect). Dopo l'autenticazione, il server invia un access_token all'applicazione. Su...
posta 14.03.2018 - 10:20
0
risposte

Applicazione Web che effettua una chiamata a un'API REST quando è già autenticata

Sono nuovo di ASP.NET Core e OpenID connect / AzureAD, quindi cerco qualche convalida (o meno) del mio approccio. Una lettura approfondita / googling durante le ultime due settimane mentre stavo imparando questo non ha trovato una risposta esatt...
posta 14.06.2018 - 23:49
0
risposte

Protezione del codice di frontend per SPA + API restful con OIDC

Ho una Angular 1 SPA con un'API Restful a cui vorrei limitare l'accesso. Come capisco, in genere il flusso implicito di OIDC è progettato proprio per questo. Tuttavia, considero anche il codice SPA di frontend sensibile e vorrei limitare l'acces...
posta 05.03.2018 - 18:02
0
risposte

Combinando id_tokens e access_tokens per le nuove specifiche dell'author

Un uso improprio di OAuth2 è un protocollo di autenticazione rigoroso. OpenID Connect risolve questo problema estendendo OAuth2 per includere id_token . Implementare i client per OAuth2 e OpenID Connect è un progetto mostruoso. Il fatto che...
posta 12.04.2016 - 16:35
1
risposta

OpenID Collega il token di accesso per accedere alle API protette

Nel nostro setup abbiamo bisogno sia dell'autenticazione utente affidabile che dell'autorizzazione basata sull'ambito. Considera il seguente scenario: un utente accede al nostro client (portale) utilizzando OpenID Connect e il nostro cliente...
posta 10.03.2016 - 17:51
0
risposte

Conferma la firma di JWT o effettua la chiamata API (JWT vs. oauth)

Dato un setup in cui le credenziali dell'utente sono memorizzate su un server, ma i servizi web saranno chiamati da client di terze parti, la seguente sembra ragionevole: Quando i client vogliono accedere, inviano nome utente / password al...
posta 09.03.2016 - 21:53
1
risposta

Perché OpenID Connect ("OIDC") usa una richiesta "nonce" invece del claim "jti" registrato

Secondo le specifiche , OpenID Connect utilizza nonce come reclamo registrato nome, ma RFC 7519 include già un reclamo registrato denominato jti per questo stesso scopo. Era una svista, o c'era qualcosa di sbagliato nel modo in...
posta 21.06.2018 - 01:33