Preguntas con etiqueta 'oauth'

preguntas con etiqueta
1
respuesta

¿Cuáles son los riesgos de usar OAuth para la autenticación cuando está en control de ambos extremos?

Recientemente descubrí que las aplicaciones en nuestro sistema usaban Oauth2 simple en lugar de OpenID Connect para autenticar a los usuarios. El caso de uso original fue utilizar OAuth para permitir que nuestros usuarios se autentiquen en las a...
hecha 21.11.2018 - 12:44
1
respuesta

OAuth 2 Tipo de concesión implícita para el SPA de primera persona: la forma más segura y sensata

Mi objetivo es asegurar mi API sin estado y solo permitir que los clientes registrados (SPA) consuman mis recursos. No habrá clientes de terceros en mi escenario. Sé que la autorización Oauth 2 con tipo de concesión implícita se recomienda pa...
hecha 14.10.2018 - 15:05
1
respuesta

Cómo almacenar un token de acceso de usuario en un sitio de terceros en la parte delantera

Estoy trabajando en un plugin de wordpress que proporciona un sistema de hilos de comentarios como disqus (pero diferentes). Para iniciar sesión (para publicar comentarios), el flujo de trabajo es así: El usuario hace clic en el inicio de...
hecha 03.09.2018 - 13:28
1
respuesta

OAuth2 para aplicaciones móviles con cliente backend confidencial (¿Se requiere PKCE?)

Me pregunto por qué ni rfc6749 ni rfc8252 parecen considerar el caso en que la aplicación móvil no realizar solicitudes de recursos protegidos (y, por lo tanto, no es un cliente), sino que se basa en un servidor backend (cliente confiden...
hecha 30.05.2018 - 05:01
1
respuesta

¿Cómo sabe el agente de usuario quién ha iniciado sesión? (Utilizando códigos de autenticación)

Cuando se utilizan códigos de autorización (en el flujo explícito de oAuth2), el agente de usuario parece no ver nada que no sea el código de autenticación, que ni siquiera identifica al usuario. Luego se envía el código al cliente, que ahora co...
hecha 12.02.2018 - 23:34
1
respuesta

¿Cómo podemos garantizar nuestra implementación de autenticación personalizada a un cliente?

Contexto En .Net 4.6, mi equipo utilizó los sistemas integrados de autenticación / autorización de Microsoft principalmente a través de sus herramientas de Owin. En .Net Core Microsoft decidió NO portar ese segmento de herramientas. Entonces,...
hecha 21.05.2017 - 21:28
1
respuesta

OAuth 2.0: ¿Los tokens de actualización aún son beneficiosos cuando todos los clientes son públicos?

Estoy diseñando una nueva API REST para un servicio de aplicaciones móviles, que es algo que aún no he tenido que hacer desde cero. Decidí usar OAuth 2.0 con la concesión de Credenciales de contraseña del propietario del recurso. Idealmente,...
hecha 14.06.2017 - 09:21
1
respuesta

¿Cuál es la necesidad del tipo de concesión de "contraseña" en OAuth 2.0?

La necesidad de OAuth surgió porque queríamos dar acceso a algunos de nuestros recursos en el servidor de recursos (por ejemplo, mi nombre / correo electrónico en Facebook) a las aplicaciones de terceros. Esto justifica varios tipos de subvenció...
hecha 26.04.2017 - 21:06
1
respuesta

Robo de Facebook o ¿Código de verdad (no token) sin uso?

Estoy probando una aplicación web que tiene una opción para conectarse a su cuenta de Facebook. El flujo de inicio de sesión oauth comienza así: enlace No puedo cambiar el dominio del parámetro redirect_uri, pero puedo cambiar la parte d...
hecha 31.03.2017 - 13:52
2
respuestas

Creando mis propios tokens para asegurar la comunicación con mi API

Tengo una API que se comunica con mi cliente, ahora quiero asegurar esa API para que solo mi cliente pueda usarla. Estoy planeando hacer lo siguiente, ya que no tengo experiencia en esto, he reunido todo esto al leer sobre el tema y necesito con...
hecha 13.03.2017 - 10:53