Mirasy, jak sprawić żeby jwt był przypisany do użytkownika? Bo obecnie ma taką sytuacje, że user Y może się zalogować i mieć dostęp do swoich danych (jak i danych usera X) mając token usera X. Powinienem jakoś sprawdzać, czy podany w url id jest zgodny z id w jwt?
@GaHee: A w sumie po co ci id w url. Jeśli masz token to jak user wchodzi np na /user/account to bierzesz id z jego tokena i tyle. Nie ma opcji żeby jeden user zrobił coś jako drugi
@budyn: No, bo przy api mam np: /api/users/1/books. I teraz mam taką sytuacje, że user o id 2 mając token usera o id 1 może wejść pod /api/users/1/books (de facto pod każdy endpoint) mimo, że controller ma atrybut [Authorize]. Nie wiem dlaczego tak to działa, bo teraz ten token to jest taki złoty klucz do wszystkiego.
EDIT: Może po prostu nie rozumiem idei JWT, ale imo, powinno to być gdzieś
#naukaprogramowania #dotnet core #programowanie
EDIT: Może po prostu nie rozumiem idei JWT, ale imo, powinno to być gdzieś
https://gist.github.com/msciborski/afc9eb219803d250b824ee668a5021bf