Preguntas con etiqueta 'openid-connect'

1
respuesta

localStorage vs. HTTP-Only Cookies + XSRF: ¿Es mejor cuando se trata de XSS?

Si tuviera que implementar un patrón de conexión OpenID común en un SPA, podría tener la siguiente relación: Auth server <-----------> Client (browser) <-----------> App API server El usuario sería redirigido al servidor de aute...
hecha 30.11.2017 - 19:40
1
respuesta

¿Previniendo CSRF con flujo implícito y JWTs?

Estoy leyendo openid connect document y dice:    Poner en una cookie del navegador el token de ID se puede usar para implementar sesiones ligeras sin estado. IIUC queremos evitar el uso de cookies para asegurarnos de evitar los ataques...
hecha 04.11.2017 - 04:23
1
respuesta

¿Cuál es la diferencia de la palabra "Abrir" en OpenID frente a OpenID Connect?

Me cuesta mucho entender el concepto de OpenId y OpenId Connect. Ambos tienen la palabra "Abierto" en ellos, pero hay una diferencia en el significado. ¿Por qué esto es así?     
hecha 27.10.2016 - 01:01
1
respuesta

¿Por qué los patrones de token de sincronización y de cookie a encabezado no son naturales para las API web?

He escuchado que las técnicas de prevención CSRF no son naturales para las API web. Por ejemplo, podríamos tener una aplicación cliente en el dominio A que implementa tanto el Patrón de token de sincronización y el Cookie-to -Patrón de cabec...
hecha 29.09.2016 - 19:40
1
respuesta

Seguridad del token SSO de autenticación - SAML, OpenID Connect

Estoy tratando de entender cómo funcionan varias tecnologías SSO como SAML 2.0, OpenID Connect 1.0. En general, funcionan de manera similar al proporcionar tokens (XML, JSON) a través del Proveedor de Identidad al Proveedor de Servicio. Lo...
hecha 27.09.2015 - 19:22
0
respuestas

OpenID connect: ¿Deben cambiar mis reclamaciones por audiencia?

Un token de identidad de OIDC está destinado a una audiencia específica (denotada por la reclamación aud ). Un token de identidad de OIDC también está destinado a ser extensible; Debería poder agregar reclamaciones personalizadas. Entonces...
hecha 03.12.2018 - 13:18
0
respuestas

Open ID Connect: el segundo ID-Token solo tiene el atributo "sub"

Estoy implementando una solución IAM para el cliente utilizando WSO2 Identity Server 4.5.1. Una de las (pocas) aplicaciones que se integran conmigo a través de Open ID connect ha descubierto un comportamiento inesperado, y necesito ayuda para re...
hecha 18.05.2018 - 13:17
1
respuesta

Flujo OIDC no estándar: ¿Qué tan seguro es esto?

Me han informado de una aplicación, en un cliente, que dice usar OIDC para autenticar a los usuarios. Sin embargo, esto se hace a través de un flujo no estándar que me resulta difícil evaluar desde un punto de vista de seguridad. Comienza con...
hecha 27.04.2018 - 10:20
0
respuestas

Implicación de seguridad de enviar mi token de identificación a un servicio en lugar de un token de autenticación

Debido a problemas de API con OpenId Connect de Azure, tengo el siguiente flujo de trabajo con una aplicación web y un servicio web. Yo controlo ambos. La aplicación web que vive en Azure genera un id_token La aplicación web envía el token...
hecha 25.01.2018 - 16:28
0
respuestas

Ver el código de acceso, el token de acceso y el token de identificación de Google durante un flujo de OpenID Connect

Situación Queremos utilizar un registrador / proxy / analizador HTTP para inspeccionar el código de acceso, el token de acceso y el token de identificación que forman parte del flujo de código. El flujo está ocurriendo entre Google (el Servid...
hecha 20.07.2016 - 23:04