隐藏在Chrome Developer Tool中显示的HTTP GET / POST请求
我有一个在Angular JS和Webapi中开发的应用程序。我使用OWIN Framework使用了基于令牌的身份验证。该应用程序部署在一家软件公司,很少有开发人员熟悉此技术堆栈,使用Chrome开发人员工具并直接访问api方法并绕过客户端的验证。有没有办法控制这个?
请找到显示Bearer令牌,Webapi方法和放大器的Chrome开发者工具的屏幕截图。它的有效载荷。
1 个答案:
答案 0 :(得分:2)
您无法隐藏在浏览器上显示的HTTP请求。您可以做的是控制谁获取该访问令牌,其到期时间以及他拥有的权限和声明。
您无法从运行该浏览器的用户隐藏浏览器的活动。
只有在使用正确的凭据成功登录后才能生成令牌,并且显示在开发者工具上的令牌可用于从邮递员等工具调用API直到它到期(因此,设定较短的到期时间。)
使用用户A的凭证生成的令牌A不应具有操纵用户B的数据的权限,这应该明确处理。
因此,唯一的选择是用户A可以窃取他自己的访问令牌并使用它来操纵他自己的数据,除非令牌是活着的。
相关问题
- Chrome Developer Window中的“待定”含义是什么意思?
- 在Chrome开发者工具中禁用工作区功能?
- 无法打开Chrome开发者工具
- Chrome开发者工具中的控制台如何实施?
- 隐藏在Chrome Developer Tool中显示的HTTP GET / POST请求
- 如何在chrome反应开发者工具中隐藏密码?
- Chrome Developer Tool在单击控制台中的链接时不会突出显示xhr请求
- 如何通过Node JS在chrome,firefox或safari中隐藏来自网络(开发人员工具)的Request Payload
- 即使没有发出预检请求,也会在POST请求中收到CORS错误
- Apache2 - HTTP POST请求被重定向到GET
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?