Domande con tag 'openid-connect'

1
risposta

localStorage rispetto ai cookie solo HTTP + XSRF: è meglio quando si tratta di XSS?

Se dovessi implementare un modello di connessione OpenID comune su una SPA, potrei avere la seguente relazione: Auth server <-----------> Client (browser) <-----------> App API server L'utente verrebbe reindirizzato al server di...
posta 30.11.2017 - 19:40
1
risposta

Prevenire CSRF con flusso implicito e JWT?

Sto leggendo attraverso openid connect document ATM e dice: Put into a browser cookie the ID token can be used to implement lightweight stateless sessions. IIUC vogliamo evitare di usare i cookie per evitare gli attacchi CSRF, dal mom...
posta 04.11.2017 - 04:23
1
risposta

Qual è la differenza tra "Open" in OpenID e OpenID Connect

Ho difficoltà a comprendere il concetto di OpenId e OpenId Connect. Entrambi hanno la parola "Open" in loro, ma c'è una differenza nel significato. Perché è così?     
posta 27.10.2016 - 01:01
1
risposta

Perché i token di sincronizzazione e i pattern da cookie a intestazione non sono naturali per le API Web?

Ho sentito che le tecniche di prevenzione CSRF non sono naturali per le API Web. Ad esempio, potremmo avere un'applicazione client su domainA che implementa sia il il Pattern token di sincronizzazione che il Cookie-to -Disegno della persona...
posta 29.09.2016 - 19:40
1
risposta

Autenticazione Sicurezza token SSO - SAML, OpenID Connect

Sto cercando di capire come funzionano varie tecnologie SSO come SAML 2.0, OpenID Connect 1.0. In generale, funzionano in modo simile fornendo token (XML, JSON) tramite Identity Provider a Service Provider. Ciò che non comprendo appieno è...
posta 27.09.2015 - 19:22
0
risposte

Open ID Connect: il secondo ID-Token ha solo l'attributo "sub"

Sto implementando una soluzione IAM cliente utilizzando WSO2 Identity Server 4.5.1. Una delle (poche) applicazioni che si integrano con me tramite Open ID connect ha rilevato un comportamento imprevisto e ho bisogno di aiuto per risolvere se que...
posta 18.05.2018 - 13:17
1
risposta

Flusso OIDC non standard: quanto è sicuro?

Sono stato informato di un'applicazione, presso un cliente, che afferma di utilizzare OIDC per autenticare gli utenti. Ciò avviene tuttavia tramite un flusso non standard che ritengo difficile valutare dal punto di vista della sicurezza. Iniz...
posta 27.04.2018 - 10:20
0
risposte

Visualizza il codice di accesso, il token di accesso e il token ID di Google durante un flusso OpenID Connect

Situazione Vogliamo utilizzare un logger / proxy / analizzatore HTTP per ispezionare il codice di accesso, il token di accesso e il token id che fanno parte del flusso di codice. Il flusso sta accadendo tra Google (il server di autorizzazione...
posta 20.07.2016 - 23:04
1
risposta

Autenticazione sul client con OpenID Connect utilizzando il flusso del codice di autorizzazione?

La nostra azienda ha una serie di suite software che stiamo collegando a un unico server di risorse OpenID Connect. Tutti tranne una delle nostre applicazioni possono utilizzare il flusso del codice di autorizzazione come di consueto, reindirizz...
posta 03.12.2015 - 22:05