Domande con tag 'token'

2
risposte

Si sta iniettando un secondo Authenticity_Token su una richiesta di accesso considerata una minaccia alla sicurezza?

Sto facendo un test di sicurezza su un sito web. La richiesta di accesso ha il seguente aspetto: POST /sessions HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0 Acc...
posta 12.05.2015 - 13:17
1
risposta

Non convinto sulla sicurezza di un token JWT Token + CSRF

Supponiamo che abbia un'applicazione Web che utilizza token JWT e token CSRF nel suo schema di autenticazione. A quanto ho capito, funziona così: Quando un utente effettua l'accesso, il client invia una richiesta di accesso. Server impos...
posta 30.11.2018 - 00:29
1
risposta

Autorizzazione di più dispositivi con token di aggiornamento

Non capisco assolutamente lo scenario di protezione quando un token di aggiornamento viene rubato. Per favore, spiega. Diciamo che c'è questa situazione: l'utente è autorizzato in un'app mobile e questa app contiene due token: un token di acc...
posta 21.07.2018 - 14:45
4
risposte

Come il token casuale protegge contro CSRF

In genere sappiamo che un token casuale aggiunto a ciascuna richiesta è una buona soluzione contro CSRF. Ma come funziona esattamente? Il server Web genera token, lo invia al client in forma nascosta, che questo token viene aggiunto alla richies...
posta 18.07.2017 - 23:24
1
risposta

La tokenizzazione della carta di credito ha una data di scadenza?

Sto leggendo le linee guida per la sicurezza dei prodotti di tokenizzazione di PCI-DSS ma non vedo il momento della scadenza del token. Ce l'ha?     
posta 06.06.2017 - 15:06
1
risposta

Protezione dei token di autenticazione memorizzati nel database lato server

Sto lavorando per estendere un'applicazione web con un'API RESTful basata su HTTP. Abbiamo deciso di richiedere al cliente di fornire un token di autenticazione in ogni richiesta (invece di utilizzare sessioni o altri schemi di autenticazione...
posta 01.11.2016 - 13:01
1
risposta

Questo schema di autorizzazione token è sicuro?

Ho un'applicazione Web, denominata A, da cui l'utente dovrebbe essere in grado di accedere a un altro B (sviluppato da un'altra società) senza digitare alcun login / password. Abbiamo ideato lo schema seguente: Generiamo ID segreto casual...
posta 09.01.2017 - 11:27
1
risposta

Protezione di Java REST Api per il caso d'uso di Saas

Sto costruendo un'API Java RESTFul con Jersey2. L'API verrà utilizzata dagli sviluppatori. Gli sviluppatori dovrebbero avere accesso agli endpoint tramite un access_token (preferibilmente non in scadenza). Ho dato un'occhiata a Kong e ad altr...
posta 19.11.2015 - 11:00
1
risposta

Come implementare l'API basata su token per rest api in java?

Sto lavorando a un progetto, e sono venuto qui in questo momento, dove ora ho bisogno di autorizzazione. Sto usando Apache Shiro per la mia interfaccia web, ma fintanto che le applicazioni web mobili sono preoccupate, credo che non basti pensare...
posta 27.10.2015 - 00:58
1
risposta

Autenticazione Sicurezza token SSO - SAML, OpenID Connect

Sto cercando di capire come funzionano varie tecnologie SSO come SAML 2.0, OpenID Connect 1.0. In generale, funzionano in modo simile fornendo token (XML, JSON) tramite Identity Provider a Service Provider. Ciò che non comprendo appieno è...
posta 27.09.2015 - 19:22