Preguntas con etiqueta 'token'

preguntas con etiqueta
2
respuestas

¿Se considera una amenaza de seguridad inyectar una segunda autenticidad en una solicitud de inicio de sesión?

Estoy ejecutando una prueba de seguridad en un sitio web. La solicitud de inicio de sesión se ve así: POST /sessions HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0...
hecha 12.05.2015 - 13:17
1
respuesta

No estoy convencido de la seguridad de un token JWT + token CSRF

Supongamos que tengo una aplicación web que utiliza tokens JWT y tokens CSRF en su esquema de autenticación. Como lo entiendo, funciona así: Cuando un usuario inicia sesión, el cliente envía una solicitud de inicio de sesión. El servidor...
hecha 30.11.2018 - 00:29
1
respuesta

Autorización de múltiples dispositivos con tokens de actualización

Realmente no entiendo en absoluto el escenario de protección cuando se roba un token de actualización. Por favor explique. Digamos que existe esta situación: el usuario está autorizado en una aplicación móvil y esta aplicación contiene dos to...
hecha 21.07.2018 - 14:45
4
respuestas

Cómo protege el token aleatorio contra CSRF

En general, sabemos que un token aleatorio agregado a cada solicitud es una buena solución contra CSRF. Pero, ¿con qué exactitud funciona? El servidor web genera el token, lo envía al cliente en forma oculta, luego este token se agrega a la soli...
hecha 18.07.2017 - 23:24
1
respuesta

¿La tokenización de la tarjeta de crédito tiene fecha de caducidad?

Estoy leyendo las pautas de seguridad del producto de tokenización de PCI-DSS pero no veo la fecha de caducidad de la ficha. ¿Lo tiene?     
hecha 06.06.2017 - 15:06
1
respuesta

Asegurar los tokens de autenticación almacenados en la base de datos del lado del servidor

Estoy trabajando en extender una aplicación web con una API basada en HTTP RESTful. Decidimos requerir que el cliente proporcione un token de autenticación en cada solicitud (en lugar de usar sesiones u otros esquemas de autenticación de vario...
hecha 01.11.2016 - 13:01
1
respuesta

¿Este esquema de autorización de token es seguro?

Tengo una aplicación web, llámela A, desde donde el usuario debería poder iniciar sesión en otra B (desarrollada por otra compañía) sin ingresar ningún nombre de usuario / contraseña. Hemos pensado en el siguiente esquema: Generamos un ID...
hecha 09.01.2017 - 11:27
1
respuesta

Asegurando Java REST Api para Saas usecase

Estoy creando una API RESTFul de Java con Jersey2. La API será consumida por los desarrolladores. Los desarrolladores deben obtener acceso a los puntos finales a través de un access_token (preferiblemente no caducado). Eché un vistazo a Kong...
hecha 19.11.2015 - 11:00
1
respuesta

¿Cómo implementar una API basada en token para el resto de la API en Java?

Estoy trabajando en un proyecto y vine aquí en este momento, donde ahora necesito autorización. Estoy usando Apache Shiro para mi interfaz web, pero en lo que respecta a las aplicaciones web móviles, casi no creo un nombre de usuario básico: la...
hecha 27.10.2015 - 00:58
1
respuesta

Seguridad del token SSO de autenticación - SAML, OpenID Connect

Estoy tratando de entender cómo funcionan varias tecnologías SSO como SAML 2.0, OpenID Connect 1.0. En general, funcionan de manera similar al proporcionar tokens (XML, JSON) a través del Proveedor de Identidad al Proveedor de Servicio. Lo...
hecha 27.09.2015 - 19:22