Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
1
respuesta

Autenticación de APIs de actualizaciones de software

Necesitamos mejorar un sistema que ofrece actualizaciones de software (archivos de firmware / software) a un dispositivo Bluetooth a través de una aplicación "complementaria" instalada en los teléfonos inteligentes de los clientes (ios / android...
hecha 16.02.2017 - 09:41
1
respuesta

¿Cómo manejar el registro de OAuth2 donde la dirección de correo electrónico ya existe como cuenta de usuario?

Estoy creando un flujo de trabajo OAuth2 que abarca el sitio web y las aplicaciones móviles. Necesito saber si el siguiente flujo de trabajo es seguro, donde se completa un registro de OAuth2, pero luego se encuentra que la dirección de corre...
hecha 11.02.2017 - 16:45
1
respuesta

¿Por qué la especificación OAuth2 recomienda que no se pasen las credenciales del cliente en el cuerpo de la solicitud?

La especificación OAuth 2.0 indica que al autenticar con una contraseña de cliente, puede pasar client_id y client_secret usando: el encabezado Authorization , utilizando el esquema de autenticación HTTP básico, OR; el...
hecha 21.09.2016 - 09:37
0
respuestas

Cómo proporcionar seguridad de API granular utilizando los ámbitos y reclamos de OAuth

Estoy tratando de encontrar la mejor manera de asegurar una API utilizando los ámbitos y / o reclamos de oAuth. No estoy seguro de lo que debo usar. Mi configuración es la siguiente: Todos los usuarios inician sesión en signin.domain....
hecha 19.11.2018 - 13:56
0
respuestas

OAuth2 Flujo implícito. Protección adicional para access_token de intercepción

Tenemos una aplicación de JavaScript de una página que autentica al usuario en nuestro servidor mediante el protocolo OAuth 2.0 (y el complemento AddId-Connect). Después de la autenticación, el servidor emite un access_token a la aplicaci...
hecha 14.03.2018 - 10:20
0
respuestas

OAuth2 contraseña analógica (privada, única y estática) - Cifrado

Estoy creando una aplicación web que encripta los datos de cada usuario, utilizando AES-256, con una clave única para cada cuenta. Estoy pensando en agregar un inicio de sesión externo a través del esquema "Iniciar sesión con Google". Sin embarg...
hecha 20.06.2017 - 20:37
0
respuestas

¿Es seguro OAuth2 implícito?

He construido un servidor de autorización usando OAuth2 basado en OWIN. Entiendo que la concesión implícita es básicamente la autenticación de redirect_URL y Client_ID al realizar la solicitud. Pensé que, al principio, esto es ideal para verific...
hecha 28.02.2018 - 17:43
0
respuestas

JWT como un nonce en backends sin sesión

Estoy creando un servidor de API (una puerta de enlace) con dos restricciones en mente: Tiene que estar sin sesión (no hay ID de sesión en una cookie ni en ningún sitio, ni Redis ni nada por el estilo) Tengo que usar una concesión implícit...
hecha 15.12.2017 - 18:53
1
respuesta

¿Es posible y / o seguro el SSO sin SSL?

Imaginemos un sitio donde no se utiliza HTTPS, por cualquier razón buena o mala. El administrador de este sitio todavía necesita una forma de asegurar las conexiones y pensar en usar una autenticación única solo con redes sociales (facebook, goo...
hecha 22.09.2016 - 06:55
1
respuesta

¿Qué es un recurso en UMA (OAuth2)?

Actualmente estoy viendo OAuth y UMA y a menudo leo sobre recursos y servidores de recursos. Pero todavía no estoy seguro de qué es exactamente lo que un recurso puede o no puede representar. La mayoría de las veces, en los ejemplos, los puntos...
hecha 08.01.2018 - 15:27