Preguntas con etiqueta 'api'

1
respuesta

¿Cómo explotar una política CORS mal configurada cuando se requiere un token de autorización por usuario?

Recientemente obtuvimos una API para auditoría de seguridad. Los encabezados CORS de la API parecen estar mal configurados, ya que cuando intentamos solicitar el punto final con http://attacker.com como origen, el servidor devolvió lo sig...
hecha 07.02.2017 - 12:38
1
respuesta

Esquema de autenticación y autorización JWT

Estaba revisando los documentos de Oauth2 y pensé que era un tipo de seguridad permisiva, así que intenté implementar tokens JWT con un esquema especial como el de la imagen para una aplicación móvil que se comunica con una API web. Notas: no...
hecha 12.05.2016 - 23:28
1
respuesta

Cómo almacenar de forma segura las claves API

Necesito almacenar claves API para mis usuarios. Estas llaves son extremadamente valiosas ya que se usan para comprar y vender cosas. Algunos usuarios no querrán dar estas claves a nadie, y estoy tratando de encontrar una mejor solución que simp...
hecha 27.08.2018 - 17:17
1
respuesta

¿Por qué usar un proxy para ocultar las credenciales del cliente OAuth en las llamadas de concesión de contraseña?

En un artículo de noviembre de 2014 de Alex Bilbie, se aconsejó a los usuarios de OAuth que no enviaran al cliente sus credenciales ( client_id y client_secret ) al realizar Contraseña del propietario del recurso otorgan llamada...
hecha 22.08.2015 - 19:16
1
respuesta

Aplicación móvil de seguridad API REST con PIN

Estoy estudiando la posibilidad de escribir una API a la que se pueda acceder mediante dispositivos móviles (también somos propietarios de la aplicación móvil, no hay terceros involucrados). Como parte del flujo de inicio de sesión, se nos ha...
hecha 21.06.2016 - 17:15
2
respuestas

¿Necesito OAuth para pasar una clave API de un servicio (ahora se pasa a través de copiar y pegar)?

Tengo una aplicación web, por ejemplo, http://web.app/ . Es local para cada usuario y es accesible sin autorización. Utiliza una API de un servicio https://service.app/ . El usuario puede iniciar sesión en él y ver su clave API. El u...
hecha 24.01.2017 - 16:57
1
respuesta

¿Si un usuario cambia la contraseña, debería invalidar todas las claves API?

Cuando un usuario cambia su contraseña, esto obligará a todos los usuarios que hayan iniciado sesión en el sitio web a través de cookies a ser forzados a iniciar sesión nuevamente. Sin embargo, hay una aplicación móvil que inicia sesión en el us...
hecha 04.02.2018 - 19:39
1
respuesta

Autenticación de usuario en la aplicación JavaScript

Estoy desarrollando una aplicación web que se comunicará con un servidor a través de WebAPI. El lado del servidor estará en Azure y el lado del cliente en un alojamiento personalizado con una aplicación JavaScript (por ejemplo, con ReactJS)....
hecha 05.05.2017 - 10:32
1
respuesta

Cómo proteger la API del uso malicioso

Estamos desarrollando un servicio de portal comunitario utilizando Java-Spring y Angular UI. También vamos a tener una aplicación para Android pronto. Nuestro back-end expone muchos servicios a través de la API REST. Hay un par de servicios que...
hecha 28.07.2016 - 15:49
1
respuesta

Mejores prácticas para API relativamente simples para nuestros clientes

He estado leyendo mucho sobre muchas consideraciones de seguridad de API, las diferencias en terminología, OAUTH, OpenID, etc. Aunque entiendo su absoluta necesidad cuando se trata de asegurar una API correctamente, me enfrento a mi (quizás inge...
hecha 21.04.2016 - 17:22