Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
1
respuesta

¿Qué podría hacer un usuario malintencionado con un token de actualización que no se puede revocar y tiene un año de caducidad?

En ADFS 4.0, un token de actualización no se puede renegar sin pasar por un flujo de solicitud de autorización (solicitando al usuario nuevamente las credenciales) y no se puede revocar. Estoy obligado a poner un período de vida de 1 año para...
hecha 18.10.2018 - 12:00
1
respuesta

Razones para hacer la transición de las aplicaciones web seguras de Kerberos a OAuth2 / OpenId

Tenemos cinco aplicaciones web internas escritas en Java / AngularJs que están protegidas a través de Kerberos / Spnego (implementación de Spring Security). Estamos buscando la transición de estas aplicaciones a AWS (EBS). Estoy creando un ca...
hecha 17.08.2018 - 04:49
1
respuesta

Un método para generar identificadores de cliente no adivinables

Estoy implementando un servidor de autorización OAuth 2.0. Como parte del proceso de registro del cliente, quiero generar el identificador de cliente único para este cliente. El método que elegí es tomar toda la información de registro del cl...
hecha 09.11.2018 - 14:43
1
respuesta

¿El siguiente esquema para la autenticación y autorización de Google OAuth2 es satisfactorio y seguro?

Tengo una tabla de usuarios en mi aplicación SPA (aplicación Phoenix API) que contiene los campos: name , email , registered_at , role_id . Yo uso la autenticación OAuth2 por la API de Google. Una vez que el usuario final...
hecha 19.11.2017 - 10:21
1
respuesta

Servidor de recursos y autorización en OAuth 2.0

¿El servidor de recursos y el servidor de autorización pueden estar en el mismo servidor en OAuth 2.0? Además, ¿pueden compartir la misma base de datos también?     
hecha 21.02.2018 - 04:22
1
respuesta

¿Previniendo CSRF con flujo implícito y JWTs?

Estoy leyendo openid connect document y dice:    Poner en una cookie del navegador el token de ID se puede usar para implementar sesiones ligeras sin estado. IIUC queremos evitar el uso de cookies para asegurarnos de evitar los ataques...
hecha 04.11.2017 - 04:23
1
respuesta

¿Cuál es una buena razón para conservar las credenciales de OAuth?

Mientras revisaba la base de datos de algunos sitios web, observé tablas donde las credenciales de OAuth (como el token, el token de actualización) entre otra información se almacenan en la base de datos. Entiendo que esta información se requ...
hecha 24.01.2017 - 15:10
1
respuesta

¿Por qué se define que redirect_uri es un uri absoluto en OAuth2?

He estado leyendo la especificación OAuth2 y la sección 3.1.2 indica que la redirección El parámetro uri (la devolución de llamada utilizada después de una autenticación exitosa para redirigir nuevamente al servicio) debe ser un uri absoluto....
hecha 29.01.2017 - 23:04
1
respuesta

¿Se pueden usar las herramientas web JSON para simplificar el protocolo OAuth2 sin comprometer la seguridad?

He usado json webtokens para manejar la autenticación de algunos sitios web de pasatiempos en el pasado. Para mi próximo sitio, me gustaría usar OAuth2, para permitir que mi sitio se use con otros servicios. Parece que el protocolo de código...
hecha 24.02.2017 - 09:46
0
respuestas

¿Cómo almacenar adecuadamente OAuth 2.0 client_id y client_secret en una aplicación web?

En el PoC (Prueba de concepto) que estoy desarrollando actualmente, los datos de una API se consumen y se requiere OAuth 2.0 para la autenticación. La aplicación ya está funcionando como se esperaba, los usuarios pueden acceder a los datos desde...
hecha 18.12.2018 - 22:55