Domande con tag 'session-management'

domande con tag
2
risposte

JWT o cookie di sessione per l'API per l'app Web e mobile?

Ho letto tutto quello che potevo su questo argomento negli ultimi due giorni e non riesco a decidere quale sarebbe l'approccio migliore. Gli unici due requisiti sono: Ho bisogno di conoscere gli utenti che hanno effettuato l'accesso e og...
posta 10.10.2018 - 16:29
0
risposte

PASETO può sostituire JWT per l'autorizzazione dell'API?

Il server PASETO con chiave simmetrica è stato valutato seriamente come candidato valido per sostituire JWT per l'autorizzazione della sessione API? JWT link link PASETO link link     
posta 10.09.2018 - 04:57
1
risposta

Indurisce contro l'escalation dei privilegi in Microservices

Considerare il seguente scenario. Il sistema ha un insieme di titolari di aziende (ovvero utenti del sistema) Ogni proprietario di attività commerciale è associato a un gruppo di clienti Gli imprenditori accedono al sistema per gestire i...
posta 21.10.2018 - 10:50
0
risposte

Sessioni multiple di sshd per il login SSH singolo

Stavo scorrendo attraverso /var/log/auth.log e ho notato che per qualche ragione, non ogni volta, ma a volte quando effettuavo l'accesso tramite SSH vedevo voci come la seguente: dove c'erano più sessioni aperte ( allo stesso tempo) per un acces...
posta 25.08.2018 - 06:49
1
risposta

Il client deve avere accesso a token di accesso API di terze parti?

Sto provando a determinare se utilizzare direttamente un token fornito da un servizio di terze parti, OPPURE emettere il mio token personalizzato e memorizzare il lato del server token di terze parti. Flusso di autenticazione L'utente...
posta 30.08.2018 - 12:40
0
risposte

Perché alcune app mobili mi tengono connesso e altre app mi disconnettono?

Ho alcune app di mobile banking sul mio iPhone - e devo effettuare il login ogni volta che voglio usare l'app. Ho anche un'altra app di un altro istituto finanziario che mi tiene loggato. Dovevo solo accedere la prima volta che ho scaricato l'ap...
posta 06.04.2018 - 21:36
0
risposte

Persistendo l'output di HMAC invece dell'ID di sessione?

Invece di persistere in un token generato casualmente ho visto una strategia di persistenza dell'output di HMAC-SHA256 usando invece il token e una chiave privata. La ragione per utilizzare una funzione di hash con una chiave privata è che un...
posta 31.01.2018 - 02:04
2
risposte

Come invalidare una sessione alla chiusura del browser?

Ho un'applicazione web in cui la sessione web deve scadere dopo un periodo di tempo stabilito. Tuttavia, catturare l'evento di chiusura del browser non è una buona idea invalidare una sessione utente. Quale può essere una soluzione alternativ...
posta 26.09.2012 - 13:39
1
risposta

è il calcolo segreto pre-master diverso durante l'utilizzo dei certificati client

Le informazioni presenti nel certificato client sono utilizzate durante il calcolo del segreto pre-master della sessione in TLS? In altre parole, per una determinata sessione il segreto pre-master sarà diverso a seconda che venga utilizzato o me...
posta 11.09.2017 - 09:27
2
risposte

Posso fidarmi di un ID di sessione per l'unicità?

Ho una vecchia app web classica ASP che genera un ID per un utente al momento dell'accesso. L'ID viene inserito in un cookie di autenticazione in testo semplice e anche memorizzato nel database. All'interno di questo sito web sto creando un n...
posta 27.09.2017 - 19:41