Ainda não tem acesso? Estude com a gente! Matricule-se
Ainda não tem acesso? Estude com a gente! Matricule-se

Solucionado (ver solução)

Recuperação de usuario por meio do token

Vamos supor um exemplo de um endPoint de exclusão de usuário, acredito que exista uma vulnerabilidade.

Pois se eu passar um outro ID de usuário como parâmetro na URL conseguiria excluir um Tópico de outro usuário(me passando por ele) sendo validado a requisição pelo meu token...

Como que converto a string do token --> Usuario, para que assim consiga consiga fazer essa validação de identidade?

Acredito que até por questão para LOGs no sistema ajudaria...

3 respostas

Oi Freire,

Nesse caso seria uma validação de segurança que precisa ser feita.

Você poderia recuperar o id do usuário no token, carregar as informações desse usuário do banco de dados e então validar se esse usuário realmente é o usuário "dono" do tópico.

Bons estudos!

Você sabe qual método do Spring Security consigo recuperar o ID do token?

solução

Foi mostrado na aula: https://cursos.alura.com.br/course/spring-boot-seguranca-cache-monitoramento/task/55850

No minuto 05:20 mostra o método criado na classe TokenService para recuperar o id do usuário no token.