Preguntas con etiqueta 'oauth'

preguntas con etiqueta
0
respuestas

servidor de autenticación OAuth2 reutilizando el token de acceso

Encontré algunas implementaciones del proveedor OAuth2 (servidor auth) que emite el token de acceso mismo (para el mismo usuario y ámbito) para diferentes solicitudes de autenticación. ¿La especificación OAuth2 lo permite? ¿Algún efecto s...
hecha 14.03.2018 - 21:13
0
respuestas

Compartir un token de acceso de un proveedor externo entre aplicaciones

Tengo una aplicación web en ejecución que utiliza un proveedor externo de OAuth (Reddit) para iniciar sesión. Quiero integrar esta aplicación con la aplicación móvil de otra persona y quiero hacerlo lo más fácil posible para los desarrolladores...
hecha 18.01.2017 - 21:42
0
respuestas

¿Cómo manejo los tokens de actualización que se pierden en tránsito?

Tengo un escenario donde un usuario tiene un token de actualización. Cuando el token se está preparando para que caduque, el cliente envía el token de actualización al servidor de autenticación para obtener un nuevo token de actualización. Esto...
hecha 09.02.2017 - 17:10
0
respuestas

Cómo generar y almacenar de forma segura una contraseña de los datos de usuario de Google OAuth (para otra API REST)

Tengo una aplicación web, donde los usuarios inician sesión con Google (OAuth 2.0). Esta aplicación web utiliza una API REST (figo.io) en segundo plano, así que tengo que crear un usuario de API con credenciales. Ahora tengo el siguiente prob...
hecha 07.11.2016 - 15:11
0
respuestas

Estándar OpenID Connect: Contradicción azp de la parte autorizada

En la especificación de OpenID Connect la reclamación de azp (parte autorizada) parece tener una contradicción . En la sección de definición del token de ID 2 dice:    puja       OPCIONAL. Parte autorizada: la parte a la que se emitió...
hecha 19.12.2016 - 23:39
1
respuesta

Si hago un mal uso de OAuth 2.0 para realizar la autenticación, ¿estoy en riesgo?

Entiendo que OAuth no es un protocolo de autenticación, sino uno de autorización (incluso si el primer párrafo en La página OAuth 2.0 de Google no está de acuerdo ), además de eso:    [...] se puede abusar de la autorización en alguna pseu...
hecha 07.06.2016 - 15:18
0
respuestas

SSO basado en token para múltiples dominios para solicitudes de API de back-end

Estoy en el proceso de configurar el SSO para un servicio que estoy creando. Después de buscar soluciones, no he encontrado nada que se ajuste exactamente a lo que necesitamos. Estoy tratando de asegurar que, desde un punto de vista de seguridad...
hecha 16.05.2016 - 00:02
0
respuestas

¿Cuál es la diferencia en la implementación entre HybridAuth y OpenID Connect?

Estoy instalando un inicio de sesión de CMS que se comparte entre dos organizaciones, una es un blog para la comunidad diseñado para facilitar el inicio de sesión y la otra es una aplicación de PHP para el personal para una organización no lucra...
hecha 19.09.2016 - 08:10
0
respuestas

SAML, OAUTH, XACML oh my (Autorización)!

Desafortunadamente, después de usar varios productos de SSO / IAM en un nivel de 'toque ligero' a 'integración profunda', todavía estoy insatisfecho, así que voy a hacer la pregunta más básica que puedo: Dadas las aplicaciones múltiples (prov...
hecha 09.05.2016 - 22:23
0
respuestas

Seguridad del alcance de acceso completo de la API de GMail

Recientemente están apareciendo cada vez más servicios en línea para ayudar a administrar el correo de Gmail, como Boomerang, Gmelius y muchos otros. Para funcionar correctamente, requieren un alcance de acceso completo a la api de gmail, que...
hecha 22.06.2016 - 09:33