Preguntas con etiqueta 'authorization'

preguntas con etiqueta
2
respuestas

usando dos contraseñas para funciones normales y críticas para la seguridad

un usuario (puede ser administrador), por ejemplo, en un sitio web tiene: una contraseña que se usa para el acceso normal y diario (no para acciones de seguridad). otra contraseña que se usa para realizar acciones críticas de seguridad....
hecha 16.06.2013 - 10:40
2
respuestas

¿La "Autorización: portador" en el encabezado de solicitud solucionará los ataques CSRF? [duplicar]

He estado leyendo sobre la reparación de ataques CSRF. Según algunas investigaciones, entiendo que buscar un encabezado no estándar evitaría los ataques CSRF ya que el navegador no se enviará automáticamente tales encabezados Asumí que re...
hecha 01.11.2017 - 14:30
2
respuestas

Certificados de atributos y gestión de acceso

Hace poco me encontré con Certificados de Atributos (RFC 5755), que se pueden utilizar como un medio de autorización. Me gusta la idea, pero he pasado mucho tiempo buscando información sobre cómo funciona esto en la vida real. Entiendo el p...
hecha 28.09.2015 - 19:19
2
respuestas

¿Proporcionar OAuth para aplicaciones móviles representa una amenaza para la seguridad?

Veamos el flujo de trabajo básico de OAuth: LaideabásicaesqueelConsumidor(Aplicación)lepidealusuarioqueleotorgueaccesoalProveedordeservicios.Elservicioprotegealusuariopreguntándolecadavezquelaaplicaciónquiereunanuevaclavedeacceso.Elproblemare...
hecha 22.05.2013 - 20:49
2
respuestas

Administración segura de Spring FrameworkUser

Me hicieron esta pregunta: "¿Algún sistema de administración de usuarios Spring reutilizable / conectable decente (registro, cambio de pwd, restablecimiento, etc.)? ¿Cómo se autentican en Spring, incluida la gestión de esos roles en la...
hecha 22.09.2012 - 18:56
1
respuesta

Esquema de autenticación y autorización JWT

Estaba revisando los documentos de Oauth2 y pensé que era un tipo de seguridad permisiva, así que intenté implementar tokens JWT con un esquema especial como el de la imagen para una aplicación móvil que se comunica con una API web. Notas: no...
hecha 12.05.2016 - 23:28
1
respuesta

Necesidad de alcance en el flujo de credenciales del cliente de OAuth

Para mí, el flujo de credenciales del cliente es como el cliente está pidiendo el token de acceso por sí mismo, no en nombre de algún usuario. Entonces, ¿por qué le gustaría al cliente limitar su propio alcance? ¿Cuál es el beneficio de los á...
hecha 14.06.2018 - 18:27
4
respuestas

Guardar las contraseñas y recordar las funciones

(Por cierto, todo esto está codificado en PHP, estoy seguro de que lo sabrás a partir de la siguiente función) Al guardar contraseñas, soy consciente de que tiene que cifrar sus contraseñas, de hecho, aquí está mi código (dígame si es lo sufi...
hecha 06.08.2016 - 14:18
2
respuestas

¿Puedo usar el servicio de administración de usuarios de stormpath con una biblioteca XACML como BALANA?

Estoy intentando implementar algún control de acceso de seguridad en un software que estoy creando. Me encontré con Stormpath para la administración de usuarios y tienen un enfoque para RBAC, pero lo que estaba considerando es confiar en XACML...
hecha 03.08.2014 - 15:05
1
respuesta

Propósito para "Token de uso único"

Conecto un Salesforce ORG con un vendedor de terceros a través de una API personalizada (básicamente, la escribieron solo para nosotros). La API requiere que recupere un "token" que pasa a otras llamadas a través de la Autorización BÁSICA. Es...
hecha 14.05.2015 - 19:17