Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
0
respuestas

Seguridad de API anidada

¿Cuáles son las mejores prácticas para proteger las API anidadas? Aquí hay un ejemplo: Navegador de usuario (ya autenticado) - > API REST A - > REST API B (interna y puede o no estar expuesta a internet) Normalmente, la API REST A...
hecha 30.10.2018 - 21:30
0
respuestas

OAuth2 y vincular los recursos de un propietario a la cuenta de otra persona

Estoy implementando OAuth del lado del cliente y me preocupa el siguiente escenario. Hay una aplicación A registrada con el servicio B que ofrece acceso a sus recursos de usuario, autorizada por OAuth (Confidencial, flujo de código de autoriz...
hecha 01.08.2018 - 10:40
0
respuestas

Auth0 vs Firebase = oidc vs Firebase Tokens

Estoy tratando de elegir entre Auth0 y Firebase como mi proveedor de identidad. Estoy construyendo un SPA con una API de Backend y me gustaría usar Auth0 o Firebase para toda la lógica con respecto a los usuarios / contraseñas / derechos de acce...
hecha 25.07.2018 - 11:11
0
respuestas

Token Exchange en una puerta de enlace REST API para federar la autenticación mientras se mantiene una autorización detallada (¿cree que ABAC) dentro de la API?

Estoy a punto de crear un servicio dentro de nuestro servidor de recursos que intercambiaría un token de acceso generado externamente por un token de acceso generado internamente. Sin embargo, esto se siente mal. No he encontrado evidencia de qu...
hecha 27.06.2018 - 02:00
2
respuestas

¿La especificación de OpenID Connect Core define incorrectamente el proveedor de OpenID y la parte que confía en términos de participantes humanos?

Hay algunas definiciones importantes en la especificación de OpenID Connect Core que se refieren a un humano participante, y a primera vista parece que OpenID Connect solo se aplica en los casos en que hay un participante humano, pero esto no...
hecha 04.03.2018 - 17:09
1
respuesta

¿Por qué usar el token de actualización de oAuth2 es más seguro que regenerar un access_token?

Estoy implementando una autenticación de oAuth2 para asegurar mi API REST. Como estoy implementando oAuth2, necesito generar un access_token que me dará un acceso temporal a mis datos REST. Para hacerlo, simplemente envío una solicitud H...
hecha 04.05.2018 - 12:50
0
respuestas

Asegurando una API REST multiusuario B2B (servidor a servidor) [cerrado]

Estoy desarrollando una API REST multiusuario B2B que será invocada por la aplicación del servidor del inquilino (proveedor de cartera) (cliente seguro o confidencial) para realizar algunas operaciones en las cuentas de sus usuarios. La informac...
hecha 01.11.2017 - 05:38
0
respuestas

Oauth2 para aplicaciones móviles vs Google Digital Asset Links

Estoy trabajando en un nuevo servicio de autenticación para mi empresa. Tenemos la aplicación web (asp.net) y la API por separado. La API es utilizada por integradores externos y también por nuestras propias aplicaciones móviles. Para las apl...
hecha 20.02.2018 - 22:31
0
respuestas

OAuth2 Flujo implícito y inicio de sesión silencioso por identidad de Windows. ¿Posibles nuevos vectores de ataque?

Tenemos una aplicación js de una sola página que se autentica en nuestro propio servidor de autenticación mediante el protocolo OAuth 2.0 (y el complemento OpenId-Connect). El cliente envió una solicitud para implementar la autenticación silenci...
hecha 14.03.2018 - 09:28
0
respuestas

servidor de autenticación OAuth2 reutilizando el token de acceso

Encontré algunas implementaciones del proveedor OAuth2 (servidor auth) que emite el token de acceso mismo (para el mismo usuario y ámbito) para diferentes solicitudes de autenticación. ¿La especificación OAuth2 lo permite? ¿Algún efecto s...
hecha 14.03.2018 - 21:13