Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
3
respostas

Recuperação de usuario por meio do token

Referente ao curso Spring Boot API Rest: Segurança da API, Cache e Monitoramento, no capítulo Autenticação via JWT e atividade Autenticando o cliente via Spring Security

por Freire da Cruz
| 121.1k xp | 3 posts

Vamos supor um exemplo de um endPoint de exclusão de usuário, acredito que exista uma vulnerabilidade.

Pois se eu passar um outro ID de usuário como parâmetro na URL conseguiria excluir um Tópico de outro usuário(me passando por ele) sendo validado a requisição pelo meu token...

Como que converto a string do token --> Usuario, para que assim consiga consiga fazer essa validação de identidade?

Acredito que até por questão para LOGs no sistema ajudaria...

3 respostas
por Rodrigo da Silva Ferreira Caneppele
| 5053k xp | 8856 posts
Instrutor Instrutor

Oi Freire,

Nesse caso seria uma validação de segurança que precisa ser feita.

Você poderia recuperar o id do usuário no token, carregar as informações desse usuário do banco de dados e então validar se esse usuário realmente é o usuário "dono" do tópico.

Bons estudos!

por Freire da Cruz
| 121.1k xp | 3 posts

Você sabe qual método do Spring Security consigo recuperar o ID do token?

solução!
por Rodrigo da Silva Ferreira Caneppele
| 5053k xp | 8856 posts
Instrutor Instrutor

Foi mostrado na aula: https://cursos.alura.com.br/course/spring-boot-seguranca-cache-monitoramento/task/55850

No minuto 05:20 mostra o método criado na classe TokenService para recuperar o id do usuário no token.