Domande con tag 'token'

1
risposta

Algoritmo di tokenizzazione della carta di credito

Semplicemente curioso, qual è l'algoritmo comune utilizzato per tokenizzare la carta di credito di un utente? So che molti servizi utilizzano PRNG (numero casuale). Ri-genera semplicemente un numero casuale quando c'è un conflitto? Che ne pensi...
posta 16.01.2016 - 11:20
1
risposta

Esiste un vantaggio dell'utilizzo di JWT stateless su hash SHA256 per token API?

Ha senso utilizzare JWT stateless (senza memorizzazione persistente) su SHA256 semplice? Scenario di esempio: L'utente accede Token utente generato come segue: un. JWT.encode (userId, 'secret') o b. SHA256 (userId + 'secret')...
posta 07.05.2015 - 22:19
1
risposta

Invio di un token con una richiesta da un'app all'altra

Dire che ho un'applicazione scritta in un linguaggio e framework (Python + flask, per esempio), e ho una grande quantità di funzionalità che richiedono login e autenticazione tramite JWT. Ora voglio creare un nuovo modulo creato come app, pos...
posta 13.01.2016 - 19:20
1
risposta

È pericoloso condividere pubblicamente un token senza scope?

Se un servizio ti consente di creare token OAuth senza alcun ambito (consentendo 5k richieste API / ora per risorse pubbliche), è pericoloso condividere questi token pubblicamente? L'ovvio problema che vedo è che chiunque sarà in grado di uti...
posta 15.01.2016 - 06:24
1
risposta

Scopo per "Token One Time Use"

Sto collegando un ORG Salesforce con un fornitore di terze parti tramite un'API personalizzata (in pratica l'hanno scritto solo per noi). L'API richiede di recuperare un "token" che si passa ad altre chiamate tramite autorizzazione BASIC. Sta...
posta 14.05.2015 - 19:17
2
risposte

Lo scadere del token di aggiornamento OAuth nello stesso momento in cui il token di accesso ha qualche utilità? O è solo un teatro di sicurezza?

Stiamo integrando con un fornitore che ha un'implementazione OAuth 2.0 unica (per noi): con ogni richiesta di aggiornamento, ci inviano un nuovo token di aggiornamento insieme al token di accesso. Dicono che questo è stato richiesto come part...
posta 09.08.2016 - 18:47
2
risposte

C'è qualche rischio per la sicurezza, se il database con i maniglie delle chiavi per i dispositivi U2F è trapelato?

C'è qualche rischio, se un database di maniglie di chiavi del dispositivo U2F è trapelato? La registrazione di una chiave funziona con: Invia la richiesta di registrazione con "AppID" al dispositivo U2F. Il dispositivo U2F risponde con...
posta 10.01.2015 - 02:09
1
risposta

Oauth2 come funziona (client Android)

Ho letto molto su Oauth2 ma non riesco ancora a capire, come funziona. Spiegherò come faccio a capire questo protocollo. Ci sono alcuni personaggi principali nell'interazione con il protocollo Oauth. Utente, applicazione, provider di risorse...
posta 05.06.2015 - 18:45
1
risposta

Best practice per API relativamente semplici per i nostri clienti

Ho letto molte considerazioni sulla sicurezza dell'API, le differenze di terminologia, OAUTH, OpenID, ecc. Benché comprenda la loro assoluta necessità quando si tratta di proteggere un'API in modo corretto, mi trovo di fronte al mio (forse ingen...
posta 21.04.2016 - 17:22
0
risposte

Problemi di sicurezza per i token di accesso monouso a lunga durata con verifica dell'identità secondaria?

Ho un'applicazione con un tipo di utente che "restituisce se necessario" nel corso di 22 giorni per completare gli elementi di azione. L'applicazione gestisce le informazioni sensibili / riservate, ma > Il 90% degli utenti non usa il sistema...
posta 12.07.2016 - 01:28