Domande con tag 'openid-connect'

1
risposta

Autorizza la capacità di accesso a un utente in Oauth 2.0?

Per quanto ne so, il protocal OAuth2.0 porterà l'abilità di accesso dal proprietario delle risorse (A) al client. Ma nello scenario qui, mi chiedo se sia possibile autorizzare la capacità di accesso ad un altro utente (B) (dopo l'accesso l'utent...
posta 25.08.2015 - 08:27
1
risposta

I flussi basati su browser sono richiesti per la maggior parte degli standard di autenticazione basati su IdP?

Mi scuso in anticipo per la natura sconclusionata di questa domanda, ho letto molto su SAML e OIDC e altri standard, cercando solo di capire perché i browser sembrano essere così essenziali per loro. Ho letto e fatto ricerche su diversi fluss...
posta 24.09.2018 - 19:58
1
risposta

Bypassing OpenID Connetti il reclamo del pubblico con una sovvenzione implicita

Ad esempio, diamo un'occhiata a come funziona l'autenticazione con Kubernetes : Inparticolare,concentriamocisuciòchefailserverapi.Perautenticarelarichiesta,è: Verifica che la firma JWT sia valida Verifica che il JWT non sia scaduto Ver...
posta 22.08.2018 - 21:45
0
risposte

Auth0 vs Firebase = oidc vs Token Firebase

Sto cercando di scegliere tra Auth0 e Firebase come provider di identità. Sto creando una SPA con un'API Backend e vorrei utilizzare Auth0 o Firebase per tutte le logiche relative a utenti / password / diritti di accesso ed ecc. Auth0 usa OID...
posta 25.07.2018 - 11:11
0
risposte

Token Exchange a un'API REST Gateway per federare l'autenticazione mantenendo l'autorizzazione dettagliata (si pensi ABAC) all'interno dell'API?

Sono sull'orlo della creazione di un servizio all'interno del nostro server delle risorse che scambia un token di accesso generato esternamente per un token di accesso generato internamente. Tuttavia, questo sembra sbagliato. Non ho trovato prov...
posta 27.06.2018 - 02:00
2
risposte

La specifica OpenID Connect Core definisce erroneamente OpenID Provider e Relying Party in termini di partecipanti umani?

Ci sono alcune definizioni importanti nelle specifiche OpenID Connect Core che si riferiscono a un umano partecipante, e a prima vista sembrerebbe che OpenID Connect si applica solo nei casi in cui vi è un partecipante umano, ma questo non è v...
posta 04.03.2018 - 17:09
0
risposte

OAuth2 Flusso implicito e autologin silenzioso di Windows Identity. Possibili nuovi vettori di attacco?

Abbiamo una tipica applicazione di pagina singola js che si autentica sul nostro server di autenticazione utilizzando il protocollo OAuth 2.0 (e il componente aggiuntivo OpenId-Connect). Il cliente ha inviato una richiesta per implementare l'aut...
posta 14.03.2018 - 09:28
0
risposte

C'è qualche ragione per la quale il noto endpoint di scoperta OpenID non è firmato?

A differenza dei metadati WS-Federation / WS-Trust, l'endpoint di scoperta OpenID non è firmato. Ciò si traduce in un numero di minacce possibili su questo endpoint. C'è qualche giustificazione nel non firmare questo endpoint? C'è una limit...
posta 24.01.2017 - 21:07
0
risposte

OpenID Connect Standard: Autorizzato Azp Contradiction

Nelle specifiche OpenID Connect la rivendicazione azp (parte autorizzata) sembra avere una contraddizione . Nella sezione di definizione del token ID 2 dice: azp OPTIONAL. Authorized party - the party to which the ID Token was i...
posta 19.12.2016 - 23:39
0
risposte

È sufficiente controllare il pubblico dei token di accesso OAuth2?

Sto studiando l'utilizzo di Social Login per un servizio web gestito da portali basati su Web e applicazioni mobili. L'idea è di "autenticare" l'utente e lasciare che il servizio crei una "chiave API" una volta che l'utente è stato autenticato....
posta 13.10.2016 - 09:11