Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
6
respuestas

¿Por qué usar OpenID Connect en lugar de OAuth2?

Acabo de comenzar a usar OAuth 2.0 como una forma de autenticar a mis usuarios. Funciona muy bien: solo uso la API de identidad / perfil de cada proveedor para obtener una dirección de correo electrónico validada del usuario. Ahora leo sobr...
hecha 21.06.2013 - 08:18
1
respuesta

¿Cómo verificar si la pantalla de inicio de sesión de Google es legítima? (Escritorio de Linux) [duplicado]

He instalado una aplicación electrónica "Google Play Music Desktop Player" que presenta una pantalla de inicio de sesión de Google: Esto está en una ventana independiente sin URL mostrada. Aunque no tengo ninguna razón para no confiar...
hecha 30.10.2016 - 23:43
10
respuestas

suplantación de solicitudes POST / GET en un servicio RESTful

Comencé a trabajar en una aplicación que se conecta a un servicio RESTful para autenticación y datos. El usuario envía el nombre de usuario y la contraseña a / token endpoint. Una vez que inician sesión correctamente, obtienen un token de portad...
hecha 13.11.2017 - 16:40
1
respuesta

¿Por qué no se recomienda PKCE para las aplicaciones de una sola página?

Muchos servicios hoy en día aún recomiendan el flujo implícito para un intercambio de token OpenID Connect / Oauth2 al desarrollar aplicaciones de una sola página. (Consulte Okta , Google , Auth0 ) Algunas orientación más reciente apunta...
hecha 03.04.2018 - 21:56
3
respuestas

Oauth2 vs APIKey en una comunicación de servidor a servidor

Un proveedor de servicios externo está exponiendo una API de pago que necesitamos integrar en nuestro backend. Como comunicación de transporte, consumiremos esta API utilizando TLS con certificado de cliente y a través de una red privada MPLS....
hecha 06.02.2018 - 12:30
2
respuestas

¿Es seguro para los usuarios de mi API 'Iniciar sesión con GitHub' usando pasaporte-github?

Entiendo que OAuth2 fue diseñado para delegar concesiones de autorización a recursos específicos, solo no es un protocolo de autenticación . Sin embargo, los estados de passport-github README ,    Este módulo le permite autenticar...
hecha 23.10.2016 - 08:25
2
respuestas

Flujo de OAuth2 no confidencial

He estado revisando algunos documentos relacionados con los flujos de autorización OAuth2 confidenciales y no confidenciales, a saber this y el RFC . A mi entender, el flujo no confidencial no requiere el client_secret , o mejor aú...
hecha 17.01.2018 - 17:29
0
respuestas

FB Oauth CSRF security, sitio web de PHP

Estoy experimentando con el inicio de sesión de terceros, utilizando Twitter y Facebook. Después de obtener el token de acceso de estas partes y confirmar su validez, luego emito mi propio token JWT que se usa dentro de mi grupo de aplicacion...
hecha 06.02.2017 - 19:38
2
respuestas

¿Qué está protegiendo realmente PKCE?

Estoy tratando de entender cómo funciona PKCE en una aplicación móvil y hay algo que no. entiendo muy bien. Entonces, de lo que puedo recopilar, la aplicación cliente crea una cadena criptográfica segura al azar conocida como el verificador...
hecha 14.12.2017 - 12:56
2
respuestas

¿Hay alguna diferencia de seguridad entre el inicio de sesión a través de iFrame, Pop-up o redirect?

Parece que hay varias técnicas para autenticar a una persona en la web. Más comúnmente hay ventanas emergentes de Javascript (Google, Firefox Persona, Disqus, etc.) Redirecciones HTTP (OAuth, Facebook) IFrames , con el sandboxing config...
hecha 02.05.2017 - 20:19