Preguntas con etiqueta 'openid-connect'

preguntas con etiqueta
1
respuesta

¿Autorizar la capacidad de acceso a un usuario en Oauth 2.0?

Por lo que yo sé, el OAuth2.0 protocal traerá la capacidad de acceso del propietario de los recursos (A) al cliente. Pero en el escenario aquí, me pregunto si es posible autorizar la capacidad de acceso a otro usuario (B) (Después de iniciar ses...
hecha 25.08.2015 - 06:27
1
respuesta

¿Se requieren flujos basados en navegador para la mayoría de los estándares de autenticación basados en IdP?

Voy a disculparme por adelantado por la naturaleza ambigua de esta pregunta, he leído mucho sobre SAML y OIDC y otros estándares, solo tratando de entender por qué los navegadores parecen ser tan esenciales para ellos. He estado leyendo e inv...
hecha 24.09.2018 - 17:58
1
respuesta

Anular la solicitud de audiencia de OpenID Connect con una subvención implícita

A modo de ejemplo, echemos un vistazo a cómo funciona la autenticación con Kubernetes : Específicamente,concentrémonosenloquehaceelservidorapi.Paraautenticarlasolicitud,ésta: Verifica que la firma JWT sea válida Comprueba que el JWT no h...
hecha 22.08.2018 - 19:45
0
respuestas

Auth0 vs Firebase = oidc vs Firebase Tokens

Estoy tratando de elegir entre Auth0 y Firebase como mi proveedor de identidad. Estoy construyendo un SPA con una API de Backend y me gustaría usar Auth0 o Firebase para toda la lógica con respecto a los usuarios / contraseñas / derechos de acce...
hecha 25.07.2018 - 09:11
0
respuestas

Token Exchange en una puerta de enlace REST API para federar la autenticación mientras se mantiene una autorización detallada (¿cree que ABAC) dentro de la API?

Estoy a punto de crear un servicio dentro de nuestro servidor de recursos que intercambiaría un token de acceso generado externamente por un token de acceso generado internamente. Sin embargo, esto se siente mal. No he encontrado evidencia de qu...
hecha 27.06.2018 - 00:00
2
respuestas

¿La especificación de OpenID Connect Core define incorrectamente el proveedor de OpenID y la parte que confía en términos de participantes humanos?

Hay algunas definiciones importantes en la especificación de OpenID Connect Core que se refieren a un humano participante, y a primera vista parece que OpenID Connect solo se aplica en los casos en que hay un participante humano, pero esto no...
hecha 04.03.2018 - 16:09
0
respuestas

OAuth2 Flujo implícito y inicio de sesión silencioso por identidad de Windows. ¿Posibles nuevos vectores de ataque?

Tenemos una aplicación js de una sola página que se autentica en nuestro propio servidor de autenticación mediante el protocolo OAuth 2.0 (y el complemento OpenId-Connect). El cliente envió una solicitud para implementar la autenticación silenci...
hecha 14.03.2018 - 08:28
0
respuestas

¿Hay alguna razón por la que el extremo de descubrimiento de OpenID conocido no esté firmado?

A diferencia de los metadatos WS-Federation / WS-Trust, el punto final de descubrimiento de OpenID no está firmado. Esto da como resultado un cantidad de amenazas que son posibles en este punto final. ¿Hay alguna justificación para no firma...
hecha 24.01.2017 - 20:07
0
respuestas

Estándar OpenID Connect: Contradicción azp de la parte autorizada

En la especificación de OpenID Connect la reclamación de azp (parte autorizada) parece tener una contradicción . En la sección de definición del token de ID 2 dice:    puja       OPCIONAL. Parte autorizada: la parte a la que se emitió...
hecha 19.12.2016 - 22:39
0
respuestas

¿Es suficiente para verificar la audiencia de los tokens de acceso de OAuth2?

Estoy investigando el uso de Social Login para un servicio web con portales web y aplicaciones móviles. La idea es "Autenticar" al usuario y dejar que el servicio cree una "Clave de API" una vez que el usuario haya sido Autenticado. Estoy mir...
hecha 13.10.2016 - 07:11