Preguntas con etiqueta 'oauth'

2
respuestas

¿Proporcionar OAuth para aplicaciones móviles representa una amenaza para la seguridad?

Veamos el flujo de trabajo básico de OAuth: LaideabásicaesqueelConsumidor(Aplicación)lepidealusuarioqueleotorgueaccesoalProveedordeservicios.Elservicioprotegealusuariopreguntándolecadavezquelaaplicaciónquiereunanuevaclavedeacceso.Elproblemare...
hecha 22.05.2013 - 20:49
1
respuesta

Esquema del token de autenticación / inicio de sesión

Según esta respuesta, un esquema de token de inicio de sesión válido consistiría en el nombre de usuario (U) el tiempo de emisión (T) y clave secreta K propiedad del servidor solamente La sugerencia es concatenar los valores de la s...
hecha 30.07.2014 - 13:31
3
respuestas

¿Puede OAuth2 ayudar a autenticar la aplicación?

Tenemos una aplicación móvil que se comunica con nuestro servidor a través de una API HTTPS RESTful. También tenemos un atacante que pretende ser nuestra aplicación al intentar comunicarnos con nuestra API de servicios web. Suponemos que nues...
hecha 14.09.2015 - 20:36
1
respuesta

Facebook oAuth2 para la aplicación de cliente Javascript

Al implementar el inicio de sesión de Facebook usando oAuth2 (la versión de Javascript), recibo un token de acceso del servidor de autenticación de Facebook. Hasta ahora tan bueno. El problema que tengo es que quiero implementar un back-end R...
hecha 16.06.2014 - 14:41
1
respuesta

Esquema de autenticación y autorización JWT

Estaba revisando los documentos de Oauth2 y pensé que era un tipo de seguridad permisiva, así que intenté implementar tokens JWT con un esquema especial como el de la imagen para una aplicación móvil que se comunica con una API web. Notas: no...
hecha 12.05.2016 - 23:28
3
respuestas

ADFS 2012 R2 (3.0) Validación del token web JSON

Nuestro cliente desea que utilicemos ADFS 2012 R2 (también conocido como 3.0) como el medio principal para dos características de seguridad en las aplicaciones internas que estamos creando: La aplicación web (hay dos .NET y amp; Angular) y u...
hecha 26.01.2015 - 21:11
1
respuesta

Necesidad de alcance en el flujo de credenciales del cliente de OAuth

Para mí, el flujo de credenciales del cliente es como el cliente está pidiendo el token de acceso por sí mismo, no en nombre de algún usuario. Entonces, ¿por qué le gustaría al cliente limitar su propio alcance? ¿Cuál es el beneficio de los á...
hecha 14.06.2018 - 18:27
1
respuesta

¿Por qué usar un proxy para ocultar las credenciales del cliente OAuth en las llamadas de concesión de contraseña?

En un artículo de noviembre de 2014 de Alex Bilbie, se aconsejó a los usuarios de OAuth que no enviaran al cliente sus credenciales ( client_id y client_secret ) al realizar Contraseña del propietario del recurso otorgan llamada...
hecha 22.08.2015 - 19:16
2
respuestas

¿Por qué es más seguro usar la concesión implícita que solo dar su clave secreta?

La empresa para la que trabajo ha creado una API que utilizan los dispositivos móviles. He estado leyendo sobre el uso de oAuth para aplicaciones móviles y, según tengo entendido, se recomienda que use subvención implícita en lugar de incrusta...
hecha 12.06.2015 - 17:49
2
respuestas

OAuth: ¿Qué sucede si se roba el token de actualización?

Parece que todavía no entiendo la idea detrás del token de actualización. Suponiendo que se utiliza un token de acceso de corta duración. Este token podría ser robado, permitiendo que el atacante acceda al recurso hasta que experimente (quizá...
hecha 14.06.2017 - 10:16