Preguntas con etiqueta 'openid-connect'

1
respuesta

tokens de acceso JWT: ¿Demasiada información?

Recientemente he encontrado la práctica de sistemas que utilizan JWT como tokens de acceso. Tengo una preocupación y no estoy seguro de si es infundado: Asocio JWTs con el protocolo OpenID Connect, donde se usan como tokens de identificación....
hecha 05.12.2018 - 11:33
1
respuesta

¿Cuándo OpenID Connect devuelve JSON?

Mientras que OAuth2 no define explícitamente qué tipo de token usar, OpenID Connect define una API y un formato de datos para realizar los flujos de autorización de OAuth2. ¿En qué ocasiones se devuelve un JWT en OpenID Connect?     
hecha 02.02.2017 - 19:41
1
respuesta

¿Cómo funciona la autorización después de la autenticación con OpenID Connect?

Supongamos que un cliente obtiene un token de ID y un token de acceso del servidor de autenticación después de la autenticación exitosa. El cliente ahora envía una solicitud al servidor de aplicaciones (la solicitud contiene el token de acceso y...
hecha 26.09.2018 - 11:30
1
respuesta

OIDC: ¿cuál es el punto de dos tokens separados: access e id?

Me cuesta entender por qué no tenemos un solo token que sirve para ambos propósitos: ¿autorización y autenticación? En cierto sentido, el token de acceso hace más que solo autorización. También proporciona una identificación de usuario (en la...
hecha 17.07.2018 - 14:15
1
respuesta

¿Cuáles son los elementos de información entregados en un perfil de usuario al final de un flujo de OpenID Connect?

Por lo que entiendo sobre el uso de OpenID Connect (sobre OAuth2 ), es que terminamos con algunos JSON Contiene información sobre el usuario. Esa información se transporta como un JSON Web Token . ➥ ¿Cuáles son las piezas de informaci...
hecha 03.12.2018 - 01:41
1
respuesta

Inicio de sesión de flujo implícito desde SPA

Mirando el flujo implícito para iniciar sesión con enlace y enlace . El proceso comienza con el reenvío a una página de inicio de sesión del lado del servidor. Soy consciente de que hay ventajas en no tener que realizar cambios en el SPA s...
hecha 04.04.2018 - 19:17
1
respuesta

Proveedores de autenticación para aplicaciones sin conexión a Internet

Tengo un caso de uso interesante en el que los usuarios necesitan autenticarse en aplicaciones que se ejecutan en entornos que pueden no tener acceso a Internet o incluso acceso a un servidor de autenticación. Los administradores deben poder oto...
hecha 14.10.2017 - 00:01
1
respuesta

¿El token web JSON está aún más protegido en OpenID, y cómo?

He leído los detalles del token web puro de JSON (JWT) y encontré que está firmado (por ejemplo, por SHA256) pero no encriptado. Por lo tanto, el ataque puede leer la información confidencial decodificando el encabezado y la carga útil. No es...
hecha 22.02.2017 - 13:38
1
respuesta

¿A quién se emite la URL especial de OpenID Connect "self-issued.me" y es un riesgo?

OpenID Connect define un caso de uso especial para self-issued.me y es registrado en el extranjero a lo que asumo es un nombre ficticio. ¿Cuál es el riesgo de que alguien sea propietario de este dominio w.r.t. OpenID Connect? self-issued....
hecha 07.02.2017 - 22:12
1
respuesta

¿Cuál es el beneficio de seguridad de usar PostMessage en lugar de una URL de devolución de llamada en OAuth / OIDC?

De todos los emisores que he encontrado (Facebook, Twitter, Azure AD, etc.) solo el CloudKit de Apple tiene la función de "enviar mensaje" como devolución de llamada (a menos que esté incluido en el SDK del otro) Aquí hay una captura de panta...
hecha 07.12.2016 - 03:16