我有一个带有 ASP.Net MVC5 框架的WebApi,可实现承载令牌安全性。
一旦用户通过身份验证,webapi方法就会为下一次需要身份验证的api调用返回承载令牌。
一切正常,但我需要澄清一些声音:
将令牌返回给客户端后,另一个对webapi方法的客户端调用将返回用户详细信息,并且所有客户端都存储在浏览器本地存储中。
我的问题是:
我认为本地应用程序(使用Angular2制作)不安全,因为它使用带有令牌和用户详细信息的本地存储。
如果用户更改本地存储中的用户详细信息(例如角色),他可以冒充其他角色...
现在问题是真的吗? 如果是,是否可以在WebApi中实现导航会话,即使身份验证与承载令牌一起使用?
感谢支持
答案 0 :(得分:1)