概述:我所做的事情:
我创建了一个WEB API,该WEB API具有很多GET和POST方法。我还实现了JWT令牌授权,因此所有请求都应经过身份验证和授权。
问题陈述:
现在一切正常,但是如果我的应用程序的经过身份验证的用户更改了route parameter
值,该怎么办?该请求仍将是经过身份验证的请求,但是这样做,他可能会访问其他人的信息。
解决此问题的一种方法是,每次应用程序发送一些Id
参数时,我都必须检查此Id
是否属于当前用户?但是我认为这是一个非常糟糕的解决方案。
是否有人建议在这种情况下如何保护我的Web API?我认为这是最基本的安全性的一部分。因此,肯定有一些我不知道的事情。请帮忙。