Preguntas con etiqueta 'oauth'

preguntas con etiqueta
3
respuestas

¿Por qué en OAuth 2.0 se requiere que no se pueda adivinar el token de actualización?

De RFC 6749 (sección 10.4):    El servidor de autorización DEBE asegurarse de que los tokens de actualización no se puedan generar , modificar , o adivinar para producir tokens de actualización válidos por parte de partes no autorizadas....
hecha 22.06.2016 - 14:17
1
respuesta

Cómo hacer un ciclo de los secretos del cliente OAuth2 sin tiempo de inactividad

Tengo una aplicación que se basa en varios proveedores de OAuth2 para sondear datos de antecedentes en nombre de los usuarios, como un proceso en segundo plano. Como cuestión de mejores prácticas, me gustaría alternar periódicamente los secretos...
hecha 17.06.2016 - 20:46
2
respuestas

¿Necesito OAuth para pasar una clave API de un servicio (ahora se pasa a través de copiar y pegar)?

Tengo una aplicación web, por ejemplo, http://web.app/ . Es local para cada usuario y es accesible sin autorización. Utiliza una API de un servicio https://service.app/ . El usuario puede iniciar sesión en él y ver su clave API. El u...
hecha 24.01.2017 - 16:57
1
respuesta

Cree una sesión web desde un sitio web de un tercero utilizando un token oauth2 existente

Estamos intentando permitir que una aplicación web de terceros de confianza autentique automáticamente a los usuarios en nuestra propia aplicación. Pensamos en utilizar auth2 para esa materia. En nuestro escenario, proporcionaríamos un servid...
hecha 09.10.2015 - 13:01
2
respuestas

¿El cambio de mi contraseña después del inicio de sesión de OAuth en la aplicación móvil ayuda a reducir el riesgo?

Cuando usa una aplicación móvil que necesita un inicio de sesión de Google OAuth, no puede confiar completamente en la aplicación de terceros porque no puede saber qué URL está usando la vista web. Quién sabe si no están almacenando mi nombre de...
hecha 20.01.2015 - 17:54
1
respuesta

ADFS 3.0 OAuth2.0 contra aplicaciones cliente

ADFS 3.0 no admite el flujo de clientes de Subvención Implícita de Oauth2, ni admite secretos de clientes. Las investigaciones iniciales sugieren que no es seguro usar el flujo de Autorización de concesión de código de una aplicación cliente...
hecha 03.02.2016 - 17:24
1
respuesta

¿Es peligroso compartir públicamente un token sin ámbito?

Si un servicio le permite crear tokens OAuth sin ningún ámbito (permitiendo 5k API solicitudes / hora para recursos públicos), ¿es peligroso compartir estos tokens públicamente? El problema obvio que veo es que cualquiera podrá usar este toke...
hecha 15.01.2016 - 06:24
1
respuesta

Al implementar un proveedor de OAuth, ¿cuál es la granularidad correcta para un "alcance"?

Si soy un proveedor de OAuth y deseo que el usuario pueda restringir las aplicaciones a solo un subconjunto de recursos (por ejemplo, solo recursos en la carpeta X), ¿cuál es el mecanismo correcto para hacer esto? Los ámbitos parecen serlo, pero...
hecha 10.03.2014 - 22:02
1
respuesta

Usar un token omail2 de gmail para acceder al correo electrónico web

Olvidé mi contraseña de una cuenta de gmail antigua. He intentado la ruta habitual de ir a través de la recuperación de la contraseña de gmail: responder a las preguntas, sigue repitiendo las preguntas, así que creo que me estoy equivocando, usa...
hecha 08.12.2016 - 14:54
1
respuesta

Diferencias de seguridad entre fb connect y openid connect

He estado leyendo mucho acerca de por qué un proceso simple de autenticación es malo, y uno necesita al menos construirlo para alcanzar un nivel de seguridad aceptable. Eso me llevó a ver a los principales proveedores en capas, Facebook Conne...
hecha 28.04.2017 - 19:29