Preguntas con etiqueta 'openid-connect'

preguntas con etiqueta
1
respuesta

¿Por qué no oAuth for Authentication - AKA lo malo de OpenID Connect [duplicado]

Leí muchas preguntas y respuestas en este foro que indican que oAuth es para la autorización, OpenID es para la autenticación y muchos de ellos siguen diciendo que OpenID Connect proporciona autenticación al abusar de la autorización de oAuth....
hecha 22.01.2015 - 09:22
1
respuesta

OIDC Flujo híbrido

Estoy tratando de entender el flujo híbrido de OIDC. ¿Tengo razón al pensar que se realiza una solicitud de autenticación al punto final de autorización, que luego responde con el código de autorización, el token de identificación y el token en...
hecha 24.08.2018 - 11:38
1
respuesta

¿Cómo lidiar adecuadamente con los diferentes mecanismos de inicio de sesión orientados al usuario?

Me pregunto si es posible tratar con un mecanismo de inicio de sesión que depende del identificador de usuario. Por ejemplo, el usuario puede tener acceso mediante OpenId, OAuth o token. Pero, ¿cómo podemos "ayudar" al usuario a determinar qu...
hecha 08.10.2018 - 16:27
0
respuestas

OAuth2 Flujo implícito. Protección adicional para access_token de intercepción

Tenemos una aplicación de JavaScript de una página que autentica al usuario en nuestro servidor mediante el protocolo OAuth 2.0 (y el complemento AddId-Connect). Después de la autenticación, el servidor emite un access_token a la aplicaci...
hecha 14.03.2018 - 10:20
0
respuestas

aplicación web que realiza una llamada a una API REST cuando ya está autenticado

Soy nuevo en ASP.NET Core y OpenID connect / AzureAD, así que estoy buscando alguna validación (o no) de mi enfoque. Durante las últimas semanas, he leído mucho y ha estado buscando en Google, mientras que he estado aprendiendo que esto no ha da...
hecha 14.06.2018 - 23:49
0
respuestas

Protegiendo el código del frontend para SPA + Restful API con OIDC

Tengo un SPA Angular 1 con una API Restful a la que me gustaría restringir el acceso. Como entiendo, normalmente el flujo implícito OIDC está diseñado solo para esto. Sin embargo, considero que el código de Frontend SPA también es sensible y me...
hecha 05.03.2018 - 18:02
0
respuestas

Combinando id_tokens y access_tokens para la nueva especificación de autenticación

Un mal uso común de OAuth2 es como un protocolo de autenticación estricto. OpenID Connect soluciona esto extendiendo OAuth2 para incluir un id_token . La implementación de clientes para OAuth2 y OpenID Connect es un proyecto monstruoso. El...
hecha 12.04.2016 - 16:35
1
respuesta

OpenID Conectar el token de acceso para acceder a la API protegida

En nuestra configuración necesitamos tanto una autenticación de usuario confiable como una autorización basada en el alcance. Considere el siguiente escenario: un usuario inicia sesión en nuestro cliente (portal) mediante OpenID Connect, y nu...
hecha 10.03.2016 - 17:51
0
respuestas

Confirmar la firma de JWT o hacer una llamada a la API (JWT vs. auth)

Dada una configuración en la que las credenciales de los usuarios se almacenan en un servidor, pero se llamará a los servicios web de clientes externos, ¿parece razonable lo siguiente? Cuando los clientes desean iniciar sesión, envían un no...
hecha 09.03.2016 - 21:53
1
respuesta

¿Por qué OpenID Connect ("OIDC") usa un reclamo 'nonce' en lugar del reclamo registrado 'jti'

Según la especificación , OpenID Connect usa nonce como la reclamación registrada nombre, pero RFC 7519 ya incluye un reclamación registrada llamada jti para este mismo propósito. ¿Esto fue un descuido o hubo algún problema...
hecha 21.06.2018 - 01:33