Domande con tag 'openid-connect'

1
risposta

Token di accesso JWT: troppe informazioni?

Recentemente ho riscontrato la pratica dei sistemi che utilizzano JWT come token di accesso. Ho una preoccupazione e non sono sicuro che sia infondato: Associo le JWT al protocollo OpenID Connect, dove vengono utilizzati come token ID. Hanno...
posta 05.12.2018 - 11:33
1
risposta

Quando OpenID Connect restituisce JSON?

Mentre OAuth2 non definisce esplicitamente quale tipo di token usare, OpenID Connect definisce un'API e un formato dati per eseguire i flussi di autorizzazione OAuth2. Quali sono le occasioni in cui viene restituito un JWT in OpenID Connect?...
posta 02.02.2017 - 19:41
1
risposta

Come funziona l'autorizzazione dopo l'autenticazione usando OpenID Connect

Supponiamo che un client ottenga un token ID e acceda al token dal server di autenticazione dopo l'autenticazione riuscita. Il client ora invia una richiesta al server delle applicazioni (la richiesta contiene token di accesso e token ID). A mio...
posta 26.09.2018 - 11:30
1
risposta

OIDC - qual è il punto di due token separati - accesso e id?

Faccio fatica a capire perché non abbiamo solo un singolo token che serve a entrambi gli scopi: autorizzazione e autenticazione? In un certo senso, il token di accesso fa molto più che una semplice autorizzazione. Fornisce anche l'id utente (...
posta 17.07.2018 - 14:15
1
risposta

Quali sono le informazioni fornite in un profilo utente alla fine di un flusso OpenID Connect?

Da quanto ho capito sull'uso di OpenID Connect (oltre OAuth2 ), è che ci ritroviamo con alcuni JSON contenente informazioni sull'utente. Tali informazioni vengono trasportate come Token Web JSON . ➥ Quali sono le informazioni in parti...
posta 03.12.2018 - 01:41
1
risposta

Accesso al flusso implicito da SPA

Esaminare il flusso implicito per accedere con link e link . Il processo inizia con l'inoltro a una pagina di accesso lato server. Sono consapevole che ci sono dei vantaggi nel non dover apportare modifiche alla SPA se vengono utilizzati p...
posta 04.04.2018 - 19:17
1
risposta

Provider di autenticazione per applicazioni senza connessione Internet

Ho un caso d'uso interessante in cui gli utenti devono autenticare le applicazioni in esecuzione in ambienti che potrebbero non avere accesso a Internet o persino accedere a un server di autenticazione. Gli amministratori devono essere in grado...
posta 14.10.2017 - 00:01
1
risposta

Il token Web JSON è ulteriormente protetto in OpenID e in che modo?

Ho letto i dettagli del token web JSON puro (JWT) e ho scoperto che è firmato (ad esempio da SHA256) ma non crittografato. Quindi, l'attacco può leggere le informazioni sensibili decodificando l'intestazione e il carico utile. Non ho familiar...
posta 22.02.2017 - 13:38
1
risposta

A chi è indirizzato lo speciale URL OpenID Connect "self-issued.me", ed è un rischio?

OpenID Connect definisce un caso d'uso speciale per self -issued.me ed è registrato oltremare a quello che presumo sia un nome fittizio. Qual è il rischio che qualcuno possieda questo dominio con w.r.t. OpenID Connect? self-issued.me Doma...
posta 07.02.2017 - 22:12
1
risposta

Qual è il vantaggio in termini di sicurezza dell'utilizzo di PostMessage anziché di un URL di callback in OAuth / OIDC?

Di tutti gli emittenti che ho trovato, (Facebook, Twitter, Azure AD, ecc.) solo CloudKit di Apple ha la funzione di "post messaggio" come callback (a meno che non sia sepolto nell'SDK dell'altro) Ecco uno screenshot del Portale degli sviluppa...
posta 07.12.2016 - 03:16