Entrar Ainda não tem acesso?
1
resposta

Protegendo ID's de hackeamento do form html

Referente ao curso ASP.NET Core parte 2: um e-Commerce com MVC e EF Core, no capítulo Adicionando e Removendo Itens e atividade Criando uma ViewModel

por Eduardo Gonçalves dos Santos
| 335.3k xp | 83 posts

Tenho uma API de troca de mensagens segmentado por filial, ou seja, os usuários só consultam e modificam mensagens da filial da qual eles pertencem... Quero impedir que um usuário tenha sucesso ao editar diretamente o id da mensagem no form html quando for atualizar uma mensagem. Qual seria a melhor maneira de conseguir isso?

1 resposta
por Marcelo Oliveira
| 977.5k xp | 1845 posts
Alura Scuba Team

Oi Eduardo, tudo bem?

Uma das alternativas é utilizar JSON Web Tokens (JWT) para garantir um acesso seguro a APIs REST. Veja por exemplo este artigo do Renato Groffe no Medium:

https://medium.com/@renato.groffe/asp-net-core-2-0-jwt-identity-core-na-autentica%C3%A7%C3%A3o-de-apis-e2a6fab07421

Outra opção seria usar o IdentityServer4 para conferir a identidade do usuário que realiza a requisição e verificar se ele possui as credenciais para acessar a filial dele. Confira este artigo do Manacés Pereira no medium:

https://medium.com/@manacespereira/autentica%C3%A7%C3%A3o-com-aspnet-core-2-0-e-identityserver4-1992796a99ed

Note que essas soluções são extensas, por isso não postamos aqui. Por favor veja qual solução é mais adequada para o seu caso. Qualquer dúvida, estamos à disposição.