如何防止经过身份验证的用户欺骗 RESTful API 调用

【问题标题】:How to prevent authenticated user from spoofing restful api calls如何防止经过身份验证的用户欺骗 RESTful API 调用
【发布时间】:2019-03-05 22:11:48
【问题描述】:

所以我构建了一个 RESTful API。它有一个/account/{id} 端点来返回用户数据。 API 通过身份服务器进行保护,该身份服务器向请求者颁发一个 JSON Web 令牌 (JWT),可以访问 /account/{id} 端点。用户发送带有用户名和密码的请求,并在成功验证后收到 JWT。现在,用户向/account/{id} 发送获取其帐户信息的请求。该请求在标头中使用令牌发送,并返回 200 响应,其中包含有效负载中的用户数据。

如何授权端点中的 {id}?换句话说,经过身份验证的用户可以在端点中添加任何 {id} 并可能接收另一个用户的数据。使用 JWT 如何防止这种情况发生?

【问题讨论】:

    标签: rest


    【解决方案1】:

    您可以将数据存储在网络令牌中。如果您存储用户的 ID,那么您可以为他们提出的每个请求识别他们。这是安全的,因为令牌的内容是用服务器的私钥签名的。因此它们的内容不能改变。

    之后你可以限制API让每个用户只能查询自己的记录,或者你也可以实现一个复杂的角色系统,每个用户都有一组角色(例如read-onlyguestmaintaineradminclient 等)定义了哪些端点以及它们可以使用的方式。

    【讨论】:

    • 所以要限制API让每个用户只能查询自己的记录,我是不是只检查登录的用户id等于uri中的{id}?
    • 是的。但是您可以在数据库中存储有关用户权限的附加信息。例如,用户记录中的 is_admin 字段。如果他们将其设置为 true,那么他们可以读取任何记录。关于存储 ID:创建令牌时应该知道用户 ID,因为这发生在成功验证之后。
    • 或者你可以走另一条路,例如/我
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2011-03-03
    • 2017-01-12
    • 1970-01-01
    • 1970-01-01
    • 2017-09-11
    • 1970-01-01
    • 2019-09-25
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode