Preguntas con etiqueta 'oauth'

preguntas con etiqueta
2
respuestas

JWT vs. certificados de cliente

Tenemos un servidor de transacciones que está conectado a través de diferentes aplicaciones cliente. El requisito es tener un medio seguro de autenticación para que las aplicaciones cliente se comuniquen con el servidor de transacciones. Las dos...
hecha 24.06.2016 - 18:20
2
respuestas

Asegure el flujo de OAuth 2 para el lado del cliente o la aplicación móvil

Estoy implementando una API y una aplicación web del lado del cliente, y se supone que deben comunicarse a través de una API y usar OAuth 2 para la autenticación. No puedo superar mi confusión sobre cuál es la forma correcta de autenticar a l...
hecha 31.07.2016 - 13:07
2
respuestas

¿Es seguro para los usuarios de mi API 'Iniciar sesión con GitHub' usando pasaporte-github?

Entiendo que OAuth2 fue diseñado para delegar concesiones de autorización a recursos específicos, solo no es un protocolo de autenticación . Sin embargo, los estados de passport-github README ,    Este módulo le permite autenticar...
hecha 23.10.2016 - 08:25
1
respuesta

¿Dónde debo guardar un token de actualización?

Estoy construyendo un protocolo auth 2.0. Me pregunto cómo funciona exactamente el token de actualización. Tengo entendido que el uso de un token de actualización habilita el token de acceso de corta duración y, por lo tanto, limita la vulner...
hecha 14.07.2016 - 21:04
4
respuestas

Middleware de autenticación

Ejecutamos un gran sistema distribuido que consiste en un número (> 10) de servicios web basados en Django y aplicaciones web con una base de consumidores de aproximadamente 10000 estudiantes universitarios. Actualmente, utilizamos un único...
hecha 02.06.2016 - 15:35
1
respuesta

¿Devuelve Access-Control-Allow-Origin: * debilita la seguridad de las respuestas JSON GET?

La recomendación CORS del W3C dice:    Ciertos tipos de recursos no deben intentar especificar   determinados orígenes autorizados, sino que denegar o permitir   Todos los orígenes.       ...       3. Una respuesta GET cuyo cuerpo de enti...
hecha 16.10.2013 - 12:23
1
respuesta

¿Diseñar una aplicación web que use OAuth, pero con tokens que el operador no pueda usar?

Me gustaría crear una aplicación web que permita a los usuarios OAuth with Stack Exchange , para que puedan realizar Acciones como votar a través de la aplicación. Sin embargo, estoy atascado en un punto: sé cómo realizar OAuth, pero muchos...
hecha 11.02.2014 - 19:22
1
respuesta

¿OAuth significa efectivamente permitir que una aplicación haga todo como yo?

Algunos proveedores de OAuth (como Google o Facebook) solo otorgan privilegios limitados a las aplicaciones de terceros, y se expresan claramente en la página de autorización. Por ejemplo, dicen que una aplicación puede ver quién eres y tu lista...
hecha 30.10.2015 - 11:01
2
respuestas

Qué usar como 'estado' en el flujo de trabajo OAuth2 Authorization Code Grant

Estoy usando la protección csrf en mi aplicación web. Ahora estoy planeando desencadenar un flujo de trabajo de concesión de código de autorización OAuth2, comenzando con una plantilla estática abierta en una nueva ventana del navegador usand...
hecha 30.10.2015 - 16:40
1
respuesta

Modelo de diseño de API - Cifrado del lado del cliente

Actualmente estoy diseñando un modelo de API para usar. Un usuario tendrá una 'secret_api_key' y una 'public_api_key'. Enviarán una solicitud a mi servidor con la clave pública, los datos del formulario y luego un hash. El hash es el formulario...
hecha 27.11.2012 - 14:08