La autenticación es el acto de una entidad que prueba su identidad a otra entidad. Ejemplos comunes involucran criptografía de clave pública. Por ejemplo, probar que un sitio web bancario en realidad pertenece al banco que usted cree que pertenece.
Quiero exponer un recurso en la web. Quiero proteger este recurso: asegurarme de que solo sea accesible para ciertas personas. Podría configurar algún tipo de autenticación basada en contraseña . Por ejemplo, solo podría permitir el acceso al recurso a través de un servidor web que verifica las...
¿Las huellas digitales del navegador son un método suficiente para identificar de forma exclusiva a los usuarios anónimos? ¿Qué sucede si incorpora datos biométricos como gestos del mouse o patrones de escritura? El otro día me encontré con el experimento Panopticlick EFF se ejecuta en las huellas...
No puedo entender el razonamiento para hacer públicos los reclamos / carga útil de un JWT después de decodificarlo en base64. ¿Por qué? Parece que sería mucho más útil cifrarlo con el secreto. ¿Alguien puede explicar por qué, o en qué situación, mantener esta información pública es...
He leído sobre autenticaciones y me confundo acerca de la clasificación de tipos. Comencemos con la autenticación basada en cookies. Si lo entiendo bien, el punto clave es que todos los datos, necesarios para la autenticación del usuario, se almacenan en cookies. Y esta es mi primera confusión:...
Para mi trabajo, tenemos un buen servicio web RESTful que hemos desarrollado y que utilizamos para manejar un par de sitios web que tenemos. Básicamente, el servicio web le permite crear y trabajar con tickets de soporte, y el sitio web es responsable del front-end. Cualquier solicitud de servicio...
Tengo Windows 10 con Git instalado. Este Git usa mi C:/Users/MyNamedirectorio como el directorio INICIO y el /.ssh/directorio interno, de manera apropiada para obtener mis claves SSH privadas. Acabo de habilitar y configurar "Bash en Ubuntu en Windows" (¡qué bocado!) E instalé Git allí también. Me...
Estoy usando tokens JWT en encabezados HTTP para autenticar solicitudes a un servidor de recursos. El servidor de recursos y el servidor de autenticación son dos roles de trabajo separados en Azure. No puedo decidir si debo almacenar los reclamos en el token o adjuntarlos a la solicitud /...
Estoy construyendo una API RESTful que usa tokens JWT para la autenticación de usuarios (emitida por un loginpunto final y enviada en todos los encabezados después), y los tokens deben actualizarse después de un período de tiempo fijo (invocando un renewpunto final, que devuelve un token renovado...
Cuando una API requiere que un cliente se autentique en ella, he visto dos escenarios diferentes utilizados y me pregunto qué caso debería usar para mi situación. Ejemplo 1. Una compañía ofrece una API para permitir que terceros se autentiquen con un token y un secreto utilizando HTTP...
Estoy diseñando una API REST usando autorización / autenticación a través de una clave API. Traté de averiguar cuál es el mejor lugar y descubrí que muchas personas sugieren usar un encabezado HTTP personalizado como ProjectName-Api-Key, por ejemplo: ProjectName-Api-Key: abcde pero también es...
Acabo de leer este artículo que tiene algunos años pero describe una forma inteligente de asegurar sus API REST. Esencialmente: Cada cliente tiene un par de claves públicas / privadas únicas Solo el cliente y el servidor conocen la clave privada; nunca se envía por cable Con cada solicitud, el...
Pronto comenzaré un nuevo proyecto, que apunta a la aplicación móvil para todas las principales plataformas móviles (iOS, Android, Windows). Será una arquitectura cliente-servidor. La aplicación es tanto informativa como transaccional. Para la parte transaccional, deben tener una cuenta e iniciar...
Planeamos refactorizar el sistema de nuestra compañía en un sistema basado en microservicios. Estos microservicios serán utilizados por nuestras propias aplicaciones internas de la compañía y por socios externos si es necesario. Uno para reservar, uno para productos, etc. No estamos seguros de...
He estado desarrollando una aplicación que admitirá muchos usuarios. Lo que pasa es que no puedo entender cómo autenticar al cliente / usuario. Estoy creando una aplicación como http://quickblox.com/ donde les daré credenciales a mis usuarios y los usarán para construir N aplicaciones en las que...
Entiendo PKI razonablemente bien desde un punto de vista conceptual, es decir, claves privadas / claves públicas, las matemáticas detrás de ellas, el uso de hash y cifrado para firmar un certificado, la firma digital de transacciones o documentos, etc. También he trabajado en proyectos donde...
Quiero implementar un servicio de autenticación más robusto y jwtes una gran parte de lo que quiero hacer, y entiendo cómo escribir el código, pero tengo algunos problemas para entender la diferencia entre lo reservado issy las audnotificaciones. Entiendo que el que define el servidor que emite el...
Necesito algunas ideas sobre cómo proteger una clave API privada en una aplicación, específicamente en una aplicación ac # .NET. En primer lugar, entiendo que es teóricamente imposible ocultar algo en el código fuente, así que se me ocurrió otra idea, pero no estoy seguro de cuán plausible sea. De...
Estoy leyendo sobre autenticación / autorización en aplicaciones web. ¿Alguien podría confirmar / corregir mi conocimiento actual? Cookies: en su versión inicial, un archivo de texto con un ID de cliente único y toda la otra información necesaria sobre el cliente (por ejemplo, roles) Sesión: solo...
¿Es un exceso de ingeniería si agrego protección contra las irregularidades intencionales de un usuario (por decirlo suavemente), si el daño en el que puede incurrir el usuario no está relacionado con mi código? Para aclarar, expongo un servicio JSON RESTful simple como este: GET /items - to...
Hoy recibí una pregunta de mi gerente preguntándome qué se considera un diseño aceptable para la autenticación de una aplicación de formulario web, especialmente con respecto a la naturaleza de muchos navegadores populares para "Recordar contraseña" para los campos de inicio de sesión de contraseña...