Preguntas con etiqueta 'authorization'

preguntas con etiqueta
1
respuesta

Ayudando a los desarrolladores a encontrar fallas de lógica y autorización

Los evaluadores de penetración profesionales suelen ser buenos para encontrar todo tipo de vulnerabilidades, incluidas fallas lógicas, que son muy específicas del sitio que se está probando. Sin embargo, al ser una actividad manual, las pruebas...
hecha 29.10.2013 - 15:59
1
respuesta

¿Se debe autorizar al usuario en el sitio después de seguir la URL de confirmación de cambio de correo electrónico?

Cuando los usuarios activan el cambio de correo electrónico, enviamos un enlace a su nueva dirección de correo electrónico. Si el usuario sigue el enlace, ¿deberíamos continuar con el cambio de correo electrónico después de la autorización (e...
hecha 07.11.2018 - 18:23
1
respuesta

¿Cuál es el flujo adecuado para la autenticación?

Tengo la tarea de migrar un grupo de aplicaciones de .Net WebForms de un esquema de inicio de sesión de usuario / contraseña personalizado actual a una autenticación y autorización basadas en conexión oauth2 / openid. Esta aplicación específica...
hecha 25.10.2018 - 19:53
1
respuesta

Caducidad de la autorización sin un reloj / hora confiable

Lo he estado buscando, pero creo que es imposible encontrar una solución de emparejamiento que tenga los beneficios de la caducidad y renovación de la autorización (como la caducidad del certificado x509 y la caducidad de OAuth_in), pero funcio...
hecha 23.10.2017 - 17:03
1
respuesta

Uso de JWT simple para la autenticación de API orientada al público

Estoy buscando métodos de seguridad para las API. El uso de tokens de acceso JWT después del inicio de sesión del cliente con usuario / contraseña funcionará bien para las aplicaciones web internas utilizando nuestras propias API. Sin embargo, e...
hecha 19.05.2017 - 04:19
1
respuesta

¿Debemos mantener la Lógica de autenticación y autorización por separado? [cerrado]

Estamos utilizando el servidor Keycloak Identity, que se encargará de la autenticación y autorización de nuestro nuevo sitio web de marketing multinivel. Se estaba desarrollando una discusión dentro de nuestro equipo para mantener los concept...
hecha 22.06.2017 - 18:18
1
respuesta

¿Cómo asegurar el protocolo de intercambio de sistemas en las llamadas de API RESTful sin usuario / pase?

Tengo el sistema X de otro departamento de nuestra empresa que envía información básica del usuario (no contraseñas) a mi sistema mediante la API RESTful. Ambos sistemas utilizan subdominios del mismo dominio pero residen en diferentes servidore...
hecha 02.10.2017 - 19:56
1
respuesta

¿Qué debo hacer para mi esquema de autenticación de API web?

Últimamente he estado leyendo mucho sobre los mecanismos de autenticación de la API web y estoy un poco confundido con respecto a cómo implementar mi mecanismo de autenticación de la API web. Estoy pensando en usar la autenticación basada en tok...
hecha 26.02.2016 - 02:49
3
respuestas

¿Está bien usar solo el nombre de usuario / contraseña para asegurar una página de administrador para moderar un sitio web?

¿Existe una práctica estándar para asegurar una página de administración para una aplicación escrita en angular y nodejs o simplemente en general? La página de administración aprobaría / prohibiría a los usuarios y moderaría los comentarios....
hecha 11.03.2015 - 20:26
2
respuestas

RBAC y afirmaciones, ¿qué flujo de autorización es mejor?

Me gustaría preguntar qué flujo de autorización se considera mejor o estándar. Primer enfoque (el rol Y la afirmación son válidos): if (!isGranted(roles, permission) { return false; } if (hasAssertion(permission)) { return assert...
hecha 17.02.2014 - 18:03