Preguntas con etiqueta 'oauth'

preguntas con etiqueta
4
respuestas

¿La práctica de "Traer su propia identidad" como la única opción de autenticación es una práctica válida?

Esta pregunta está dirigida principalmente a OpenID Connect, cuando está completamente realizada. Entiendo la aversión a iniciar sesión con un sitio de redes sociales, pero por lo que entiendo sobre OIDC, se supone que finalmente permitirá a...
hecha 25.06.2014 - 15:58
1
respuesta

En Oauth, ¿cuál es el beneficio de que el token de acceso sea opaco?

¿Por qué se tomó la decisión de que el Cliente no necesita poder analizar el token de acceso? Me parece que si el token incluyera, además de los campos actuales, un client_id y un user_id, la vida sería mucho más simple, evitaría la falsifica...
hecha 02.05.2015 - 13:52
4
respuestas

¿Por qué confiamos en la información de la sesión por el cable pero no en un token de acceso OAuth?

He pasado mucho tiempo estudiando la creación de una API que debe ser accesible mediante una aplicación de JavaScript de una sola página y cómo hacerla lo más segura posible. Gran parte de lo que estoy leyendo sobre estándares como OAuth sugi...
hecha 09.12.2014 - 15:27
2
respuestas

¿Cómo las aplicaciones web de alto rendimiento controlan los permisos para su contenido?

Entonces, creo que entiendo la lógica detrás de los estándares de autorización como OAuth. El token de OAuth contiene información sobre el usuario (nombre, rol, etc.), que puedo usar para proteger mi aplicación . Es sobre la última parte de...
hecha 15.10.2015 - 14:29
1
respuesta

Si hago un mal uso de OAuth 2.0 para realizar la autenticación, ¿estoy en riesgo?

Entiendo que OAuth no es un protocolo de autenticación, sino uno de autorización (incluso si el primer párrafo en La página OAuth 2.0 de Google no está de acuerdo ), además de eso:    [...] se puede abusar de la autorización en alguna pseu...
hecha 07.06.2016 - 15:18
1
respuesta

¿La mayoría de las implementaciones de aplicaciones de OAuth son vulnerables debido a una URL / origen oculto?

Cada vez que me solicitan OAuth en una aplicación me incumple la falta de capacidad para verificar que la página realmente se origina en la fuente representada. ¿La mayoría de las implementaciones de aplicaciones de OAuth están exponiendo...
hecha 14.09.2013 - 03:28
1
respuesta

¿Cuáles son las implicaciones de divulgar un secreto del consumidor para compartir entre desarrolladores que realizan el desarrollo de sitios web locales?

En relación con este problema de GitHub en el proyecto Gittip (que resultó ser un falsa alarma), cuáles son las implicaciones de seguridad, si las hay, de la codificación en el git repo La clave de consumidor OAuth de una aplicación de prueba...
hecha 08.04.2014 - 02:59
1
respuesta

Incluyendo un archivo OAuth client_secret en una aplicación Java

Se utiliza un archivo client_secret.json en el flujo de autorización OAuth 2.0 para la API de Google Drive ( ejemplo ). Si incluyo client_secret.json en mi aplicación Java, acceder a los contenidos JAR es extremadamente fácil. E...
hecha 05.11.2015 - 17:54
3
respuestas

Detectar la implementación maliciosa de OAuth

Me pregunto cómo puede un usuario final detectar un OAuth implementado malintencionadamente si tiene dos patas o tres patas. En particular, me interesan los casos en los que el solicitante del consumidor presenta maliciosamente al usuario una pá...
hecha 17.08.2011 - 10:23
2
respuestas

¿Por qué desacoplaría sus servidores de recursos e inicio de sesión?

como se describe en este enlace, OAuth especifica que un servidor de inicio de sesión y un servidor de recursos deben ser desacoplados . La idea es que si uno de sus servidores de recursos es hackeado, no se pierden los datos de la contraseña....
hecha 10.03.2015 - 10:27