Preguntas con etiqueta 'authentication'

preguntas con etiqueta
1
respuesta

OWASP ZAP enseñando a la araña a usar encabezado personalizado

Necesito ayuda con la configuración de OWASP ZAP para rastrear correctamente mi sitio web Angular de una página con la araña. Configuré con éxito un zscript que manejará el inicio de sesión y agregará una sesión HTTP que puedo configurar como...
hecha 12.01.2018 - 13:39
1
respuesta

¿Las claves generadas por ssh-keygen solo se usan en la autenticación?

Después de leer Inicio de sesión sin contraseña de SSH usando SSH Keygen en 5 Pasos sencillos , me encuentro con la pregunta: ¿Las claves generadas por ssh-keygen solo se usan en la autenticación de inicio de sesión? Quiero decir que si...
hecha 14.09.2017 - 10:25
1
respuesta

¿Cómo asegurar las API de token de actualización?

Tengo dos API utilizadas en auth : api/auth/newtoken : valida correctamente el usuario (es decir, la verificación de nombre de usuario y contraseña en la base de datos) y devuelve token (caduca en 3 días) y refreshToke...
hecha 17.11.2017 - 05:44
1
respuesta

¿Las contraseñas de administrador deben estar en una base de datos diferente a las contraseñas normales?

Estaba intentando descubrir las mejores prácticas para almacenar las contraseñas de los usuarios del administrador y encontré una sugerencia de desbordamiento de pila para " use páginas de inicio de sesión separadas para los usuarios y admin usa...
hecha 23.10.2017 - 20:02
1
respuesta

¿Por qué el servidor cliente no puede hablar directamente con un proveedor de identidad como Facebook en OAauth 2.0

OAuth 2.0 utilizado por Google para la autenticación tiene sentido dado que tanto el servidor como el cliente confían en Google pero no en los demás. Según tengo entendido, el código de autorización se devuelve al servidor (en el flujo del la...
hecha 02.06.2018 - 06:44
1
respuesta

Con HTTPS, ¿puedo saber el dominio del cliente para la autenticación con mi API

Me está costando mucho encontrar el mejor título para esta pregunta, pero déjame explicarte mi situación: Tengo una aplicación de sala de chat como servicio similar a Intercom. Cualquiera puede cargar el chat en un iframe y mostrarlo en su si...
hecha 06.05.2017 - 00:20
2
respuestas

Importancia de un corto tiempo de caducidad en JWTs

Actualmente estamos utilizando tokens web JSON para la autenticación de la API de nuestro sitio web. Usamos tokens de acceso de corta duración de 1 hora que se actualizan con un token de actualización revocable permanente. Ahora queremos agrega...
hecha 18.02.2018 - 21:24
3
respuestas

falsificando un GUID

En el trabajo de hoy, tuve una discusión sobre la identificación de un usuario entre dos servidores web que tendrán acceso al mismo DB backend. Sugerí usar un GUID para identificar la sesión de usuario , pero un colega dijo que los GUID pueden...
hecha 21.04.2017 - 19:00
1
respuesta

Traducción de token OAuth (opaco a JWT)

He visto un par de charlas que sugirieron el uso de la traducción del token de OAuth en la puerta de enlace de la API del token opaco al token de JWT. ¿Cuáles son las ventajas y desventajas de este enfoque, quién debería usarlo? Si estamos us...
hecha 25.04.2017 - 10:02
1
respuesta

¿Sería esto un flujo de autenticación seguro?

Considere el siguiente flujo de autenticación. El usuario envía su nombre de usuario y una contraseña cifrada RSA La contraseña se descifra y se revisa con una sal (y posiblemente una pimienta) y se verifica Si el hash coincide, se gener...
hecha 21.03.2017 - 15:38