Preguntas con etiqueta 'openid-connect'

preguntas con etiqueta
2
respuestas

¿Está bien escribir el token de OidC Bearer en el registro?

Durante el desarrollo, agregamos a los registros de errores los detalles de las solicitudes http, incluidos los encabezados, para comprender mejor la investigación de errores. Nuestro arquitecto señaló que no debemos colocar información confiden...
hecha 17.09.2017 - 14:33
3
respuestas

OpenID Connect: ¿Por qué usar el flujo de código de autorización?

Tengo una pregunta sobre la implementación de OpenID Connect en la que esperaba poder obtener ayuda. Comprendo los diferentes flujos y entiendo que el flujo del código de autorización es bueno porque permite que las credenciales del cliente y la...
hecha 25.03.2015 - 13:08
1
respuesta

Google Open ID connect y ID token

Me pregunto si es seguro enviar "token de identificación", que es uno de los elementos que resultan de la autenticación de un usuario que utiliza Google Open Id Connect, para el cliente y usarlo para una mayor autenticación. El otro elemento...
hecha 20.12.2013 - 05:28
2
respuestas

¿Cómo puede un usuario final verificar la autenticidad del formulario de inicio de sesión de un proveedor de autenticación externo?

Dado el uso ubicuo de proveedores de autenticación de terceros en las aplicaciones web de hoy, ¿cómo pueden los usuarios finales verificar la autenticidad de los formularios de inicio de sesión que recopilan sus credenciales? ¿Qué es lo que impi...
hecha 13.01.2018 - 20:37
1
respuesta

¿Por qué OpenID Connect usa el token de identificación como un parámetro de cadena de consulta en el cierre de sesión?

OpenID Connect, en el flujo implícito, devuelve el token de identificación como un #fragmento en el URI de retorno específicamente para que el token de identificación no se registre en los registros del servidor web. Sin embargo, el cierre de...
hecha 23.11.2016 - 12:02
1
respuesta

OAuth: Acceso de larga ejecución en sistemas posteriores: ¿cómo actualizar el token?

En el caso de OAuth2 y el usuario de OpenID Connect, AppA autorizado para acceder al servicio AppB. Ahora, AppB necesita acceder a AppC y usa el token de portador recibido de AppA (suponga que el alcance de ese token incluye tanto B como Am);...
hecha 03.03.2017 - 07:40
1
respuesta

En OpenId Connect, ¿por qué no se incluyen las reclamaciones solicitadas en el token de identificación?

En el flujo de Implict de OpenId Connect, una vez que el servidor de autorización ha autenticado al usuario y le ha otorgado al cliente acceso a las reclamaciones solicitadas, se le devuelve un token de identificación al cliente. Este token d...
hecha 15.06.2015 - 17:52
0
respuestas

¿Existe un caso de uso para verificar la firma de un id_token usando una aplicación js o una aplicación nativa?

Supongamos que estoy desarrollando una aplicación basada en cliente para Android / ios o una aplicación javascript para cualquier navegador. Para identificar a un usuario, usaré OpenIdConnect con el flujo implícito. El IDP proporcionará id_to...
hecha 09.01.2018 - 17:03
0
respuestas

c_hash reclamación en id_token y IdP MixUp mitigation

Tengo entendido que el reclamo c_hash en id_token se usa para prevenir ataques IdPMixUp ( enlace ). Tengo dos dudas: ¿ es el IdP MixUp relevante en primer lugar? Algunas fuentes parecen creer que no es relevante ( enlace ), ¿Alguien pued...
hecha 21.08.2017 - 16:05
0
respuestas

¿Usar la concesión del código de autorización sin usar cookies?

He estado leyendo sobre esto durante meses y parece que todo podría converger en lo que estoy resumiendo a continuación. Estoy tratando de llegar a lo más ideal: OAuth2 OpenID Connect SPA / Cliente móvil JWT La solución que tiene ca...
hecha 07.10.2017 - 20:40