.Net WebApi - 不记名令牌安全和浏览器本地存储
.Net WebApi - Bearer Token Security and Browser Local Storage
我有一个带有 ASP.Net MVC5 框架的 WebApi,它实现了 Bearer Token 安全性。
一旦用户通过身份验证,webapi 方法 returns 下一个需要身份验证的 api 调用的承载令牌。
一切正常,但我需要澄清一些疑问:
令牌返回给客户端后,另一个客户端调用webapi方法returns将用户详细信息全部存储在浏览器本地存储中。
我的问题是:
我认为本地应用程序(使用 Angular2 制作)不安全,因为它使用带有令牌和用户详细信息的本地存储。
如果用户更改本地存储中的用户详细信息(例如角色),他可以模拟另一个角色...
现在,问题是真的吗?
如果是,是否可以在 WebApi 中实现导航会话,即使身份验证与不记名令牌一起使用?
感谢支持
我有一个带有 ASP.Net MVC5 框架的 WebApi,它实现了 Bearer Token 安全性。
一旦用户通过身份验证,webapi 方法 returns 下一个需要身份验证的 api 调用的承载令牌。
一切正常,但我需要澄清一些疑问:
令牌返回给客户端后,另一个客户端调用webapi方法returns将用户详细信息全部存储在浏览器本地存储中。
我的问题是:
我认为本地应用程序(使用 Angular2 制作)不安全,因为它使用带有令牌和用户详细信息的本地存储。
如果用户更改本地存储中的用户详细信息(例如角色),他可以模拟另一个角色...
现在,问题是真的吗? 如果是,是否可以在 WebApi 中实现导航会话,即使身份验证与不记名令牌一起使用?
感谢支持