Ao setar o token no localstorege do navegador e logo após fazer login, a verrificação de liberar o acesso ao usuário somente pela lógica se existe ou nao um TOKEN pode ser contornada pela seguinte situação: mesmo não estando logado posso ir no localstorage e setar um token com qualquer valor, editar a url e inserir uma que seja somente de acesso interno, mesmo com autenticação eu tenho acesso ao sistema. Pegunta, como posso contornar isso???
Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas
respostas
Falha de segurança
solução!
Boa tarde! Como vai?
Boa pergunta! A situação descrita por vc está correta, mas faltou considerar uma coisa. Ao fazer a requisição pra API enviando o token criado por vc ela não permitirá acesso dizendo que o token é inválido. Dessa forma vc não irá conseguir efetuar nenhuma funcionalidade.
Pegou a ideia? Qualquer coisa é só falar!
Grande abraço e bons estudos!
Massa, mas posso sondar toda a aplicação pelo menos navegando pelas telas, no caso de ter informação sensivel ela estará vulneravel, como posso fazer esse bloqueio?