Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
3
respuestas

¿Debería un token de acceso reflejar los roles de usuario actuales?

Un usuario con rol "A" solicita un token de acceso en el momento t , que expira en 12 horas; después de 6 horas, el rol "B" se otorga al usuario además del rol "A". ¿Debería el token otorgar el rol de usuario "B", incluso si el rol no se oto...
hecha 09.10.2017 - 14:17
1
respuesta

Peligros de pasar la identificación del cliente Oauth 2.0 y el secreto del cliente en el uri de solicitud

Estaba leyendo aquí que al pasar un client_id y client_secret a un servidor de autorización,    Los parámetros solo pueden      transmitirse en el cuerpo de la solicitud y NO DEBE incluirse en el      solicitar URI. ¿Cuáles son los pos...
hecha 26.10.2016 - 04:44
1
respuesta

¿Por qué los servidores de autorización deben documentar el tamaño de los identificadores de clientes?

En la sección 2.1 de OAuth2.0 RFC, indica lo siguiente con respecto al identificador del cliente:    El servidor de autorización DEBE documentar el tamaño de cualquier identificador que emita. ¿Cuál es el punto de hacer esto?     
hecha 19.10.2018 - 10:49
1
respuesta

¿Por qué el servidor cliente no puede hablar directamente con un proveedor de identidad como Facebook en OAauth 2.0

OAuth 2.0 utilizado por Google para la autenticación tiene sentido dado que tanto el servidor como el cliente confían en Google pero no en los demás. Según tengo entendido, el código de autorización se devuelve al servidor (en el flujo del la...
hecha 02.06.2018 - 06:44
1
respuesta

Traducción de token OAuth (opaco a JWT)

He visto un par de charlas que sugirieron el uso de la traducción del token de OAuth en la puerta de enlace de la API del token opaco al token de JWT. ¿Cuáles son las ventajas y desventajas de este enfoque, quién debería usarlo? Si estamos us...
hecha 25.04.2017 - 10:02
1
respuesta

OpenID Connect, OAuth2 y cuentas eliminadas

Si uso OpenID Connect u OAuth2 para la autenticación, y un cliente borra su cuenta del proveedor de OAuth2 (Facebook), ¿cómo puedo asociar de manera segura una nueva autenticación con un proveedor de OAuth2 diferente a la cuenta anterior para qu...
hecha 29.03.2018 - 14:43
1
respuesta

¿Cuál es el flujo adecuado para la autenticación?

Tengo la tarea de migrar un grupo de aplicaciones de .Net WebForms de un esquema de inicio de sesión de usuario / contraseña personalizado actual a una autenticación y autorización basadas en conexión oauth2 / openid. Esta aplicación específica...
hecha 25.10.2018 - 19:53
1
respuesta

Cómo evitar la actualización de un token de acceso robado

El escenario es: tienes un token de actualización que es válido por un período de tiempo más largo y un token de acceso que es válido por un período de tiempo más corto. La configuración: hay un cliente, un servidor de aplicaciones y un servi...
hecha 11.05.2018 - 09:35
1
respuesta

¿Qué ventajas tendrían los certificados del lado del cliente sobre la autenticación basada en firmas, como Oauth2 o HMAC para solicitudes HTTP?

Actualmente, mi aplicación admite estos dos métodos de autenticación OAuth2 y HMAC Auth. OAuth2 enlace HMAC enlace Tenemos una solicitud para admitir certificados del lado del cliente para nuestra infraestructura API. Actualmente no ve...
hecha 15.03.2018 - 23:58
1
respuesta

Aplicaciones oficiales OpenID Connect / OAuth 2.0 y "falsas"

Mi pregunta se refiere principalmente a OpenID Connect, pero también se puede aplicar a OAuth 2.0. Cuando se trata de un cliente de OpenID Connect que realiza el baile de "autorización" con el proveedor de OpenID Connect, el cliente envía su...
hecha 07.01.2018 - 22:24