Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
1
respuesta

¿Hay alguna forma para que el lado del servidor verifique la integridad de la aplicación durante el flujo de trabajo de oauth2?

Durante un flujo de trabajo PKCC de oauth2, la aplicación nativa (instalada en el dispositivo Android / ios) emite la solicitud de autorización al servidor e intercambia los tokens oauth. En el lado del servidor, ¿hay alguna forma de verifica...
hecha 10.12.2018 - 08:24
0
respuestas

OAuth 2.0: usar el secreto del cliente en una aplicación nativa si el token de actualización se almacena de forma segura

Estoy desarrollando una aplicación nativa que necesita acceder a los recursos protegidos utilizando OAuth 2. Existe un requisito comercial para que un usuario tenga que ingresar sus credenciales manualmente lo menos posible y la mejor manera de...
hecha 04.04.2017 - 22:18
0
respuestas

¿Usar la concesión del código de autorización sin usar cookies?

He estado leyendo sobre esto durante meses y parece que todo podría converger en lo que estoy resumiendo a continuación. Estoy tratando de llegar a lo más ideal: OAuth2 OpenID Connect SPA / Cliente móvil JWT La solución que tiene ca...
hecha 07.10.2017 - 20:40
0
respuestas

¿Pasar reclamos sobre el usuario en un token de acceso está "abusando" de OpenID Connect?

Primero, permítame asegurarle que he leído varias publicaciones sobre el tema antes de hacer esta pregunta, pero todavía estoy confundido y apreciaría más información. Entonces, aquí está la premisa: Hay una aplicación cliente que autenti...
hecha 17.05.2018 - 13:17
2
respuestas

¿Es razonable permitir que Google inicie sesión para las personas que se registraron "normalmente"?

He estado pensando: digamos que un usuario se registra en su sitio de la manera "estándar". Es decir, ingresan una dirección de correo electrónico, tal vez un nombre de usuario y una contraseña, y completan el proceso de registro. ¿Es entonces,...
hecha 18.12.2016 - 12:34
1
respuesta

Por qué la verificación previa de CORS no está disponible para solicitudes POST cuando Content-Type es application / x-www-form-urlencoded

En oauth2 para la aplicación de una sola página (SPA), podemos revocar los tokens de acceso del tipo de concesión implícita utilizando una solicitud ajax (esto no se recomienda ahora). Intenté hacer una solicitud como la siguiente desde un SPA a...
hecha 08.06.2018 - 09:35
2
respuestas

¿Cuál es la diferencia entre las claves de API y los usos de tokens de API?

De todas las investigaciones que he realizado, he encontrado que las claves de API son menos seguras que las tokens de acceso (bajo el uso de oAuth), y solo se deben usar para fines de monitoreo. Pero a partir de lo que entendí, el servidor g...
hecha 14.06.2017 - 09:58
4
respuestas

¿Cómo puede un servidor de recursos OAuth2 relacionar un token de acceso con el usuario que lo autorizó para evitar el acceso no autorizado a otros recursos del usuario?

Apreciaría si alguien pudiera aclarar si, de acuerdo con OAuth2 RFC , el servidor de recursos podría inferir el usuario asociado a un token de acceso o no, o incluso si se espera. Supongamos lo siguiente: El servidor de autorización y...
hecha 05.12.2018 - 08:49
2
respuestas

OAuth: ¿Cómo valida el servidor de recursos que el token de acceso no es para ningún otro servidor de recursos?

Tomemos un ejemplo donde hay dos servidores de recursos: RS1 y RS2 y hay un servidor de autorización: AS. Ambos servidores de recursos: RS1 y RS2 usan el servidor de autorización - AS Si un cliente solicita un token de acceso para RS1 y lo...
hecha 21.06.2018 - 16:36
2
respuestas

¿Por qué una URL de devolución de llamada de subdominio con comodín en OAuth se considera insegura?

En esta publicación: enlace    Ingrese su (s) URL (s) de devolución de llamada completa en este campo. Esto significa que deberías   estar proporcionando todo el camino, como    enlace . No utilice comodines, y no   usa solo el dominio....
hecha 26.02.2018 - 01:10