Tenho uma API de troca de mensagens segmentado por filial, ou seja, os usuários só consultam e modificam mensagens da filial da qual eles pertencem... Quero impedir que um usuário tenha sucesso ao editar diretamente o id da mensagem no form html quando for atualizar uma mensagem. Qual seria a melhor maneira de conseguir isso?
Oi Eduardo, tudo bem?
Uma das alternativas é utilizar JSON Web Tokens (JWT) para garantir um acesso seguro a APIs REST. Veja por exemplo este artigo do Renato Groffe no Medium:
Outra opção seria usar o IdentityServer4 para conferir a identidade do usuário que realiza a requisição e verificar se ele possui as credenciais para acessar a filial dele. Confira este artigo do Manacés Pereira no medium:
Note que essas soluções são extensas, por isso não postamos aqui. Por favor veja qual solução é mais adequada para o seu caso. Qualquer dúvida, estamos à disposição.