我正在寻求保护我的Web API,我已经阅读了很多关于它的信息,但我一度陷入困境。
我使用自建的承载令牌生成器来使用令牌来验证我的客户,这是有效的。
但是,如果允许用户修改或查看数据,我应该在哪里进行检查。 例: 我是网上商店的客户,我想查看我的所有订单(网址:" / api / overview")。 我点击一个订单,看到该网址更改为" api / orders / 1"。现在,我是黑客,我只会改变" 1"到" 2"我会看到别人的命令。
我在哪里放置安全性,是在其中一个过滤层(授权过滤器?)还是在控制器中?
或者我错过了那张洞照片?
Thx,Phoenix