전체 사이트에 SSL이있는 Asp.Net MVC 3 사이트가 있습니다. 나는 userName과 password를 받아들이는 컨트롤러에 로그인 액션을 가지고 있으며, 웹 애플리케이션 내에서 다른 액션을 호출하기위한 사용자 인 Token을 리턴한다. 액션은 내 REST API를 호출한다.Asp.Net MVC 3 보안 로그인
유효한 사용자가 내 웹 사이트에 로그인하지 않고 로그인 한 후 Fiddler를 사용하여 토큰을 추출하지 못하도록하려면 어떻게해야합니까? 그는 일부 악의적 인 물건을 해당 토큰을 사용하여 내 REST API를 호출 할 수있을 것입니다 그 후 ...
하지만 그는 내 웹 사이트에서 TOKEN을 사용했기 때문에 API에 훨씬 더 높은 권한 (범위)을 갖게됩니다. 그래서 당신이 말하는 역할 관리자가 될 것이라고 말할 수 있습니다 ... –
@RadenkoZec, 이것은 기본적으로 당신이 당신의 웹 사이트에서 권한을 구현하지 않았다는 것을 의미합니다. 인증 만 구현했습니다. 현재 사용자가 TOKEN을 가졌다면 그는 사이트에서 무엇이든 할 수 있습니다. 그리고 인증 된 사용자에게이 토큰을 제공하기 때문에 사용자가 재사용하지 못하게 할 수있는 방법은 없습니다. 사용자의 역할을 구별하려면 권한 부여를 구현해야합니다. –