OAuth2 Flujo implícito y inicio de sesión silencioso por identidad de Windows. ¿Posibles nuevos vectores de ataque?

1

Tenemos una aplicación js de una sola página que se autentica en nuestro propio servidor de autenticación mediante el protocolo OAuth 2.0 (y el complemento OpenId-Connect). El cliente envió una solicitud para implementar la autenticación silenciosa mediante la autenticación de Windows (por ejemplo, Active Directory) para los usuarios de la intranet. Queremos implementar la autenticación automática del usuario en la aplicación cliente utilizando un xframe oculto en el que se cargará la página de autenticación de Windows del servidor de autenticación. En este caso, nos saltamos los pasos para ingresar las credenciales del usuario en la página de inicio de sesión y la página de consentimiento. Queremos estar seguros de que no creamos una vulnerabilidad y no aumentamos la superficie de ataque de nuestro sistema de autenticación. No soy un experto en seguridad con mucha experiencia, por lo que le pido ayuda en análisis.

No tenemos registro gratuito de aplicaciones cliente, todas las aplicaciones son controladas por nosotros.

    
pregunta V. Dmitriy 14.03.2018 - 09:28
fuente

0 respuestas

Lea otras preguntas en las etiquetas