Preguntas con etiqueta 'openid-connect'

preguntas con etiqueta
4
respuestas

¿La práctica de "Traer su propia identidad" como la única opción de autenticación es una práctica válida?

Esta pregunta está dirigida principalmente a OpenID Connect, cuando está completamente realizada. Entiendo la aversión a iniciar sesión con un sitio de redes sociales, pero por lo que entiendo sobre OIDC, se supone que finalmente permitirá a...
hecha 25.06.2014 - 15:58
1
respuesta

Si hago un mal uso de OAuth 2.0 para realizar la autenticación, ¿estoy en riesgo?

Entiendo que OAuth no es un protocolo de autenticación, sino uno de autorización (incluso si el primer párrafo en La página OAuth 2.0 de Google no está de acuerdo ), además de eso:    [...] se puede abusar de la autorización en alguna pseu...
hecha 07.06.2016 - 15:18
1
respuesta

Use OpenId Connect solo para autenticación

OpenId Connect agrega autenticación al protocolo OAuth2. OAuth2 es un protocolo utilizado para la autorización. ¿Pero qué pasa si solo me interesa autenticar a un usuario? Después de leer sobre OpenId Connect, parece que recibes un token de ID y...
hecha 06.03.2016 - 15:21
1
respuesta

¿Cualquier escenario para usar ambos, OpenID Connect y OAuth 2.0?

Dado que OpenID Connect se basa en OAuth 2.0, asumo que todo lo que es posible con OAuth 2.0 también es posible con OpenID Connect. En particular, digamos que mi sitio web almacena cierta información que pertenece al usuario e implementa Open...
hecha 03.06.2016 - 02:59
2
respuestas

¿Cómo funcionaría la sustitución de tokens de portador con HMAC en OAuth 2.0, y cómo se validaría el cliente / servidor?

Esta clase de Pluralsight analiza los tokens del Portador , y que una de las cosas que faltan en OAuth 2.0 es la validación basada en HMAC. En otros lugares de los blogs de thinktecture, se llaman tokens PoP (Prueba de Posesión) La validació...
hecha 10.08.2016 - 05:47
1
respuesta

¿Se necesita CORS en algún aspecto de la autenticación OAuth / OpenIDConnect?

Estoy observando la autenticación OpenIDConnect y tratando de determinar si "CORS simple" o "CORS complejo" alguna vez se aprovecha durante la autenticación o autorización. Background Un CORS simple (sin verificación previa) implica: Mét...
hecha 28.12.2016 - 03:08
2
respuestas

¿Cómo uso CORS correctamente con OpenID Connect?

Parece que hay una serie de preguntas en varios blogs, sitios de Q & A y comentarios que plantean variantes de la pregunta:    ¿Cómo uso CORS correctamente con OpenID Connect? El contexto de estas preguntas generalmente se aplica a un...
hecha 09.02.2017 - 16:07
2
respuestas

Iniciar sesión en Google+: flujo de código de un solo uso versus flujo del lado del servidor puro

Estoy leyendo la documentación sobre el inicio de sesión de Google+, más específicamente, su flujo del lado del servidor. Dice ( enlace ) que el flujo de código de un solo uso tiene ventajas de seguridad sobre el lado del servidor puro fluir. Di...
hecha 13.09.2014 - 12:01
1
respuesta

Diferencias de seguridad entre fb connect y openid connect

He estado leyendo mucho acerca de por qué un proceso simple de autenticación es malo, y uno necesita al menos construirlo para alcanzar un nivel de seguridad aceptable. Eso me llevó a ver a los principales proveedores en capas, Facebook Conne...
hecha 28.04.2017 - 19:29
1
respuesta

Cualquier problema al permitir CORS en un punto final oauth2

Tengo la tentación de dejar que mi OpenID Connect / Oauth2 OP acepte la solicitud de CORS en un punto final oauth2 después de verificar esa identificación del cliente y su origen permitido coinciden. De esta manera, un RP podría obtener una...
hecha 27.11.2015 - 12:48