Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
1
respuesta

Cómo proteger OAuth en un sitio web HTTP [cerrado]

Quiero usar OAuth de una fuente famosa (Facebook / Google / GitHub) como un mecanismo de inicio de sesión para los usuarios (por simplicidad y para evitar el almacenamiento de contraseñas). ¿Cuáles son los riesgos de seguridad? ¿Realmente nec...
hecha 08.05.2017 - 13:00
2
respuestas

¿Cómo aseguro un valor nonce dentro de la aplicación cuyo código fuente es público?

Estoy desarrollando un complemento para Nylas N1 (implementa Node). El complemento utilizará un flujo implícito para autenticar al usuario, ya que entiendo que es la mejor manera de manejar las aplicaciones del lado del cliente. Tengo una compre...
hecha 22.09.2016 - 14:42
1
respuesta

tokens de acceso JWT: ¿Demasiada información?

Recientemente he encontrado la práctica de sistemas que utilizan JWT como tokens de acceso. Tengo una preocupación y no estoy seguro de si es infundado: Asocio JWTs con el protocolo OpenID Connect, donde se usan como tokens de identificación....
hecha 05.12.2018 - 11:33
2
respuestas

Almacenamiento de acceso OAuth y actualización de tokens en cookies que no son de HttpOnly

Estoy utilizando el flujo de código de autenticación de OAuth para generar acceso y actualizar tokens, y luego las guardo en dos cookies del navegador que son no HttpOnly y las envío también al cliente. Las cookies no deben ser HttpOnly por...
hecha 13.09.2018 - 13:41
1
respuesta

Limitar las búsquedas de base de datos por metadatos de token

Tengo una aplicación. Tras un inicio de sesión exitoso, los usuarios obtienen un token de autenticación jwt que contiene varios datos y caduca en 30 minutos. Se necesita un token válido para que la aplicación pueda llamar a varias funciones de b...
hecha 26.11.2017 - 21:29
1
respuesta

asp.net + token de portador: ¿Es posible la manipulación de reclamaciones?

Estoy experimentando con una autenticación OAuth2 en un servicio web de asp.net. Al generar accidentalmente una gran cantidad de reclamaciones, he descubierto que el token del portador aumenta drásticamente en tamaño. Eso me lleva a suponer q...
hecha 20.02.2017 - 21:14
1
respuesta

¿Por qué la especificación OAuth 2.0 recomienda el uso del tipo de medio “application / x-www-form-urlencoded”?

Tengo una situación en la que las solicitudes no pueden ser de tipo de medio de aplicación / x-www-form-urlencoded y por lo tanto la pregunta.     
hecha 27.03.2017 - 03:04
2
respuestas

En la plataforma Android, ¿es seguro usar un esquema URI personalizado para recibir una respuesta de autorización OAuth 2.0 de la plataforma de identidad de Google?

Suponiendo que he desarrollado una aplicación para Android utilizando la plataforma de identificación de Google como su sistema de identificación. En el documento Identify Platform ( enlace ) de Google, dice "Su aplicación debe registrarse en el...
hecha 12.12.2016 - 16:56
1
respuesta

¿Cuál es el impacto de la falla de OAuth 2 en mi cuenta social y en mis dispositivos conectados?

Según forbes , el uso del inicio de sesión único a través de la cuenta social para iniciar sesión en algunas aplicaciones puede permitir que un atacante secuestre la cuenta del usuario    las fallas pueden ser explotadas de forma remota por...
hecha 11.11.2016 - 14:00
3
respuestas

Actualizar token de acceso con token de acceso

¿Se envía para permitir que una aplicación de cliente web (JavaScript) se actualice Access Toke utilizando Token de acceso (no Actualizar token ) que está a punto de expirar? ¿Cuáles son los inconvenientes de utilizar este proceso?     
hecha 09.09.2016 - 22:03