Wpis z mikrobloga

Skopiuj link

25.06.2018, 08:30:59

Mirasy, jak sprawić żeby jwt był przypisany do użytkownika? Bo obecnie ma taką sytuacje, że user Y może się zalogować i mieć dostęp do swoich danych (jak i danych usera X) mając token usera X. Powinienem jakoś sprawdzać, czy podany w url id jest zgodny z id w jwt?

#naukaprogramowania #dotnet core #programowanie

Cronox

@GaHee: tak

@budyn: A wiesz może czy jest już jakaś metoda w UserManager służąca do tego? Że daje token, daje usera i dostaję odpowiedź czy się zgadza.

budyn

25.06.2018, 08:35:54

@GaHee: Bierzesz id z urla, patrzysz w id z tokena, żadnego query do bazy do tego nie trzeba.

budyn

25.06.2018, 08:37:14

@GaHee: A w sumie po co ci id w url. Jeśli masz token to jak user wchodzi np na /user/account to bierzesz id z jego tokena i tyle. Nie ma opcji żeby jeden user zrobił coś jako drugi

dog_meat

GaHee

25.06.2018, 08:38:19

@budyn: No, bo przy api mam np: /api/users/1/books. I teraz mam taką sytuacje, że user o id 2 mając token usera o id 1 może wejść pod /api/users/1/books (de facto pod każdy endpoint) mimo, że controller ma atrybut [Authorize]. Nie wiem dlaczego tak to działa, bo teraz ten token to jest taki złoty klucz do wszystkiego.

EDIT: Może po prostu nie rozumiem idei JWT, ale imo, powinno to być gdzieś sprawdzane.