Preguntas con etiqueta 'oauth'

preguntas con etiqueta
1
respuesta

Servidor de recursos y autorización en OAuth 2.0

¿El servidor de recursos y el servidor de autorización pueden estar en el mismo servidor en OAuth 2.0? Además, ¿pueden compartir la misma base de datos también?     
hecha 21.02.2018 - 04:22
1
respuesta

¿Previniendo CSRF con flujo implícito y JWTs?

Estoy leyendo openid connect document y dice:    Poner en una cookie del navegador el token de ID se puede usar para implementar sesiones ligeras sin estado. IIUC queremos evitar el uso de cookies para asegurarnos de evitar los ataques...
hecha 04.11.2017 - 04:23
1
respuesta

¿Cómo almacenar datos de usuarios encriptados en un servidor, descifrar solo en el cliente y almacenar la clave en otro lugar?

Esto es lo que me gustaría hacer: tener un lado del cliente que genere y procese los datos del usuario, luego los cifre y almacene en una base de datos, para luego recuperar, descifrar y procesar los datos. El servidor autorizaría al usuario...
hecha 04.07.2017 - 21:58
2
respuestas

Contraseña y verso de inicio de sesión cadena muy larga (token)

Estoy creando un sistema de inicio de sesión PHP que usa un nombre de usuario y contraseña al principio para otorgarle al token un token y lo usa para otorgarle acceso al usuario a su cuenta. Mi pensamiento original fue forzar el acceso a tok...
hecha 07.07.2017 - 22:19
2
respuestas

Clientes de correo de terceros en iPhone / Android y almacenamiento de credenciales

Normalmente, al trabajar con las credenciales de un usuario, las almacenaría localmente en un dispositivo, nunca en un servidor porque crea una responsabilidad innecesaria. Por ejemplo, en iPhone tenemos Correo (predeterminado) Gmail por G...
hecha 23.08.2016 - 06:12
1
respuesta

¿Por qué los patrones de token de sincronización y de cookie a encabezado no son naturales para las API web?

He escuchado que las técnicas de prevención CSRF no son naturales para las API web. Por ejemplo, podríamos tener una aplicación cliente en el dominio A que implementa tanto el Patrón de token de sincronización y el Cookie-to -Patrón de cabec...
hecha 29.09.2016 - 19:40
1
respuesta

¿Cómo debo construir un redirect_uri seguro?

He leído varias preguntas sobre la necesidad subyacente de un redirect_uri . ¡No quiero arruinar esto! ¿Alguien puede dar un ejemplo de cómo se podría construir un redirect_uri seguro? Por ejemplo, mysite.co/securepage.php.......
hecha 27.02.2016 - 17:45
1
respuesta

¿Debe el OAuth client_id ser confidencial?

Quiero que el propietario de mi servidor de autorización OAuth muestre (información sobre) los clientes que se han registrado. ¿Está bien usar client_id como identificador público del cliente o debería ser también confidencial client_i...
hecha 03.02.2016 - 09:31
1
respuesta

Asegurando Java REST Api para Saas usecase

Estoy creando una API RESTFul de Java con Jersey2. La API será consumida por los desarrolladores. Los desarrolladores deben obtener acceso a los puntos finales a través de un access_token (preferiblemente no caducado). Eché un vistazo a Kong...
hecha 19.11.2015 - 11:00
2
respuestas

autenticación / autorización de API de microservicios y multiservicios

Busco consejos sobre cómo podemos implementar la autenticación y la autorización para multitenancy con un número de escenarios ligeramente diferente. Estamos construyendo un conjunto de API, algunas de las cuales son accesibles internamente (...
hecha 12.11.2015 - 21:30