Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
1
respuesta

OAuth 2 Tipo de concesión implícita para el SPA de primera persona: la forma más segura y sensata

Mi objetivo es asegurar mi API sin estado y solo permitir que los clientes registrados (SPA) consuman mis recursos. No habrá clientes de terceros en mi escenario. Sé que la autorización Oauth 2 con tipo de concesión implícita se recomienda pa...
hecha 14.10.2018 - 15:05
1
respuesta

¿Cómo funciona la autorización después de la autenticación con OpenID Connect?

Supongamos que un cliente obtiene un token de ID y un token de acceso del servidor de autenticación después de la autenticación exitosa. El cliente ahora envía una solicitud al servidor de aplicaciones (la solicitud contiene el token de acceso y...
hecha 26.09.2018 - 11:30
1
respuesta

¿Cómo usar Oauth2 y JWT para asegurar la arquitectura de microservicio?

Hemos estado investigando el mecanismo adecuado para asegurar los microservicios que vamos a proporcionar como puntos finales de API a través de la aplicación del administrador de API. Fundamentalmente, necesitamos un mecanismo de seguridad s...
hecha 24.08.2018 - 06:24
1
respuesta

OIDC: ¿cuál es el punto de dos tokens separados: access e id?

Me cuesta entender por qué no tenemos un solo token que sirve para ambos propósitos: ¿autorización y autenticación? En cierto sentido, el token de acceso hace más que solo autorización. También proporciona una identificación de usuario (en la...
hecha 17.07.2018 - 14:15
1
respuesta

OAuth2 para aplicaciones móviles con cliente backend confidencial (¿Se requiere PKCE?)

Me pregunto por qué ni rfc6749 ni rfc8252 parecen considerar el caso en que la aplicación móvil no realizar solicitudes de recursos protegidos (y, por lo tanto, no es un cliente), sino que se basa en un servidor backend (cliente confiden...
hecha 30.05.2018 - 05:01
1
respuesta

Encontró cómo obtener Oauth2 client_id a lo largo del secreto coincidente, pero redirect_uri está en la lista blanca como requisito. ¿Sigue siendo seguro?

Si obtiene un OAuth 2.0 client_id junto con un secret coincidente, en teoría puede hacerse pasar por el sitio web objetivo. Usted engaña a la víctima para que visite su URL; A través de client_id y OAuth 2.0 secret...
hecha 06.12.2018 - 03:05
1
respuesta

¿Cuáles son los elementos de información entregados en un perfil de usuario al final de un flujo de OpenID Connect?

Por lo que entiendo sobre el uso de OpenID Connect (sobre OAuth2 ), es que terminamos con algunos JSON Contiene información sobre el usuario. Esa información se transporta como un JSON Web Token . ➥ ¿Cuáles son las piezas de informaci...
hecha 03.12.2018 - 01:41
1
respuesta

¿Cómo sabe el agente de usuario quién ha iniciado sesión? (Utilizando códigos de autenticación)

Cuando se utilizan códigos de autorización (en el flujo explícito de oAuth2), el agente de usuario parece no ver nada que no sea el código de autenticación, que ni siquiera identifica al usuario. Luego se envía el código al cliente, que ahora co...
hecha 12.02.2018 - 23:34
1
respuesta

¿Es el código de autenticación OAuth2 lo suficientemente largo para ser seguro?

Recientemente he comenzado a trabajar con el flujo de autenticación OAuth2. Al usarlo, veo que en el flujo de authcode, el cliente permite que el AuthServer autentique a un usuario, y luego devuelve un código de autenticación al cliente, que lue...
hecha 13.08.2018 - 23:48
1
respuesta

¿El flujo de código de autorización de OAuth 2 es vulnerable al problema del agente confuso?

El problema del agente confuso (también conocido como 'The Devil Wears Prada') es una vulnerabilidad de OAuth 2 que surge cuando el protocolo se usa para la autenticación. Esencialmente, un cliente malicioso obtiene un token para un usuario y lo...
hecha 05.12.2017 - 17:32