У меня есть сайт Asp.Net MVC 3 с SSL на весь сайт. У меня есть действие входа на контроллер, который принимает имя пользователя и пароль и возвращает токен, который является пользователем для вызова других действий в веб-приложении. В фоновом режиме эти действия называет мой REST api.Asp.Net MVC 3 Безопасный вход
Как я могу быть уверен, что действительный пользователь не пойдет на мой сайт, не войдет в систему и после этого не использует Fiddler для извлечения Token? После этого он сможет назвать мой REST API, используя этот маркер, чтобы сделать некоторые вредоносные вещи ...
Но у него будут гораздо более высокие привилегии (область) моего API, потому что он получил TOKEN через мой сайт. Поэтому я могу сказать, что он будет в роли администратора, как вы говорите ... –
@ RadenkoZec, это означает, что в основном вы не реализовали авторизацию на своем веб-сайте. Вы только выполнили аутентификацию. В настоящее время, если у пользователя есть TOKEN, он может делать что-либо на вашем сайте. И поскольку вы даете этот токен любому аутентифицированному пользователю, вам нечего делать, чтобы он не мог его повторно использовать. Если вы хотите различать разные роли пользователей, вам придется реализовать авторизацию. –