【发布时间】:2020-07-23 12:39:21
【问题描述】:
我正在研究使用 webapi 作为后端的 SPA 的安全方法。我对安全方法感到困惑。据我了解,身份验证验证用户身份。所以提交用户名和密码并接收回一个令牌。然后授权允许用户使用该令牌访问某些方法。不知道我是否有这个权利。
我的问题是,例如允许这个特定用户使用参数AccountNumber=1 访问方法GetAccountData。此用户应该只能看到帐号1,而不是帐号2。
如何防止用户使用 Fiddler 之类的程序发送相同的请求,使用他们收到的令牌,但将参数更改为 AccountNumber=2?
底线是我想阻止用户访问他们不应该看到的其他帐户。
如果我解释不正确,请告诉我。
【问题讨论】:
标签: security authentication authorization