Preguntas con etiqueta 'oauth2'

preguntas con etiqueta
1
respuesta

OAuth 2.0: ¿Cuál es la ventaja del flujo de concesión de permission_code sobre el flujo de concesión implícito?

No puedo apreciar cuál es la ventaja de tener un código de autorización otorgado al cliente y luego intercambiarlo por el token de acceso en el lado de la aplicación web. En lugar de eso, ¿por qué no solo le damos access_token al cliente y le pe...
hecha 30.05.2017 - 21:03
2
respuestas

aplicación nativa: inicie sesión con nombre de usuario y contraseña

Tengo una API web, por ahora usa oauth2 tipo de concesión de código de autorización para comunicarme con mi aplicación nativa. El navegador web se abrirá dentro de la aplicación para ingresar el nombre de usuario y la contraseña, abrir la pá...
hecha 21.10.2016 - 15:49
1
respuesta

¿Debo enviar el secreto con el token de actualización en OAuth 2.0?

Estoy trabajando para implementar un servidor OAuth 2.0 y, al leer la especificación RFC6749, me di cuenta de que sección 6 en Página 47 sobre "Actualización de un token de acceso". Explica que solo necesitamos usar el token de actualización q...
hecha 07.11.2016 - 12:50
1
respuesta

¿Cuál es el beneficio de seguridad de usar PostMessage en lugar de una URL de devolución de llamada en OAuth / OIDC?

De todos los emisores que he encontrado (Facebook, Twitter, Azure AD, etc.) solo el CloudKit de Apple tiene la función de "enviar mensaje" como devolución de llamada (a menos que esté incluido en el SDK del otro) Aquí hay una captura de panta...
hecha 07.12.2016 - 03:16
2
respuestas

¿Es seguro usar OAuth (concesión de credenciales de contraseña del propietario del recurso) para la autenticación?

Específicamente, ¿tengo que preocuparme por el confuso problema del diputado si estoy tratando de autorizar a un usuario contra una sola API? Por ejemplo: un servicio de mensajería básico querrá autenticarse y luego autorizar a un usuario a e...
hecha 07.09.2016 - 23:34
0
respuestas

Optimización de un usuario autenticado en microservicios de forma segura

En una plataforma que sigue el marco de OAuth 2.0 para la autorización y una arquitectura basada en microserivce, ¿cuál es una forma segura de pasar un usuario de un microservicio a otro en la misma plataforma sin tener que autenticar al usuario...
hecha 20.12.2018 - 11:27
1
respuesta

Utilizando autenticación de terceros como google / facebook para iniciar sesión en un sitio, ¿existe algún riesgo de seguridad cuando el sitio es hackeado?

Sitios como stackoverflow, quora y muchas más ofertas inician sesión desde Google / Facebook. En el caso de que haya una violación de datos o el sitio sea hackeado , ¿hay alguna ¿Riesgo de seguridad para su cuenta de Google / Facebook?     
hecha 04.12.2018 - 16:28
0
respuestas

Oauth2 PKCE - ¿Se puede confiar en el refresh_token?

Si tengo un móvil que está autorizado contra mi servidor usando PKCE, lo que le permite obtener un access_token y un refresh_token , ¿hasta qué punto debo confiar en que la aplicación puede usar el refresh_token a partir de a...
hecha 03.12.2018 - 18:09
1
respuesta

¿Por qué usamos Oauth2 en lugar de Basic Auth en la comunicación de servidor a servidor usando SSL?

¿Por qué algunos proveedores de API le piden que implemente Oauth2 en la comunicación de servidor a servidor que está disponible solo a través de HTTPS? En la interfaz (aplicación o aplicación web), Oauth2 es útil para proteger las credencial...
hecha 22.10.2018 - 11:53
0
respuestas

OAuth2.0 y RESTful API

Así que estoy creando algunos puntos finales RESTful API que usan tokens de portador para la autorización. Quiero usar OAuth2.0 para obtener los tokens de acceso para estos. Pero no puedo entender cómo hacer que el flujo de trabajo OAuth2.0 func...
hecha 12.10.2018 - 12:20