Preguntas con etiqueta 'oauth'

preguntas con etiqueta
0
respuestas

OAuth 2.0: usar el secreto del cliente en una aplicación nativa si el token de actualización se almacena de forma segura

Estoy desarrollando una aplicación nativa que necesita acceder a los recursos protegidos utilizando OAuth 2. Existe un requisito comercial para que un usuario tenga que ingresar sus credenciales manualmente lo menos posible y la mejor manera de...
hecha 04.04.2017 - 22:18
1
respuesta

¿Qué mecanismo usar para el acceso simple y seguro a la API HTTP?

Actualmente estoy trabajando en un servicio que ofrece una API HTTP para clientes móviles. Quiero que los clientes se autentiquen para poder acceder a mi API. El servidor en sí está haciendo la autenticación, no habrá proveedores externos. La...
hecha 24.08.2013 - 19:49
2
respuestas

OAuth para Autenticación / Autorización Multipartita

Trabajo para una empresa web que está realizando una reescritura masiva para separar nuestros datos en su propia aplicación de servicio RESTful: el objetivo es poder vender el acceso a terceros y crear prototipos rápidamente de aplicaciones inte...
hecha 08.11.2013 - 21:41
0
respuestas

¿Usar la concesión del código de autorización sin usar cookies?

He estado leyendo sobre esto durante meses y parece que todo podría converger en lo que estoy resumiendo a continuación. Estoy tratando de llegar a lo más ideal: OAuth2 OpenID Connect SPA / Cliente móvil JWT La solución que tiene ca...
hecha 07.10.2017 - 20:40
1
respuesta

Uso de OAuth como seguridad para sitios de comercio electrónico

Necesito ayuda para comprender los riesgos de seguridad si deseo usar OAuth 2.0 (Facebook, Twitter y G +) como proveedor de inicio de sesión estándar para un sitio de comercio electrónico. Teniendo en cuenta que no guardaré la información de la...
hecha 03.06.2014 - 00:58
1
respuesta

Por qué la verificación previa de CORS no está disponible para solicitudes POST cuando Content-Type es application / x-www-form-urlencoded

En oauth2 para la aplicación de una sola página (SPA), podemos revocar los tokens de acceso del tipo de concesión implícita utilizando una solicitud ajax (esto no se recomienda ahora). Intenté hacer una solicitud como la siguiente desde un SPA a...
hecha 08.06.2018 - 09:35
2
respuestas

¿Cuál es la diferencia entre las claves de API y los usos de tokens de API?

De todas las investigaciones que he realizado, he encontrado que las claves de API son menos seguras que las tokens de acceso (bajo el uso de oAuth), y solo se deben usar para fines de monitoreo. Pero a partir de lo que entendí, el servidor g...
hecha 14.06.2017 - 09:58
4
respuestas

¿Cómo puede un servidor de recursos OAuth2 relacionar un token de acceso con el usuario que lo autorizó para evitar el acceso no autorizado a otros recursos del usuario?

Apreciaría si alguien pudiera aclarar si, de acuerdo con OAuth2 RFC , el servidor de recursos podría inferir el usuario asociado a un token de acceso o no, o incluso si se espera. Supongamos lo siguiente: El servidor de autorización y...
hecha 05.12.2018 - 08:49
1
respuesta

¿Por qué Google no auth2 proporciona un token de actualización para las aplicaciones del lado del cliente?

He estado leyendo Documentación oauth2 de Google para aplicaciones del lado del cliente . Me sorprendió que en ninguna parte mencionara tokens de actualización. Además, sus ejemplos sugieren que el access_token tiene un TTL predeterminad...
hecha 24.12.2014 - 10:20
1
respuesta

OAuth + Confused Deputy + verificación de token de acceso + parámetro de estado

El artículo "Usando OAuth 2.0 para la aplicación del lado del cliente" de Google en enlace indica que el cliente DEBE validar todo Acceda a los tokens para verificar que fue el destinatario del token de acceso, para evitar ser vulnerable al co...
hecha 09.02.2015 - 22:35