NET Core API

Question

Quando um usuario tenta acessar uma url do meu site (www.meusite.com/cliente/1) ele precisara estar logado para ver esta pagina.

No entanto uma vez logado, ele pode mudar a url para www.meusite.com/cliente/2 e ter acesso aos dados de outro cliente tb.
Como faco pra pessoa logada ter acessso SOMENTE A SUA PAGINA, depois de logada ?

Abracos

Answer 1

Existem inúmeras formas de fazer isso, das mais incomuns as mais 'modernas'.

1 - Tu pode não passar o ID do cliente por URL via GET e utilizar POST, armazenando a informação de ID do cliente em uma session;

2 - Tu pode converter esse ID pra um base64 e desconverter quando chegar na API, assim o cliente não sabe que o que ta na URL é um ID;

3 - No Login salva o real ID do cliente no cookie ou cache ou no storage do navegador e quando ele fizer o request enviar esse 'IDReal' e campara se são iguais. 

Enfim, Tudo depende do teu projeto!

Answer 2

Davi, Obrigado pela resposta, mas ainda tenho algums duvidas:

1 - Tu pode não passar o ID do cliente por URL via GET e utilizar POST, armazenando a informação de ID do cliente em uma session;
*** Se eu passar via post, qualquer pessoa que tenha uma nocao, pode clicar com o botao direito na tela e inspecionar o elemento. Dai indo na aba Network do Developer tools, ele pode facilmente ver o ID sendo passado.

2 - Tu pode converter esse ID pra um base64 e desconverter quando chegar na API, assim o cliente não sabe que o que ta na URL é um ID;
A mesma pessoa tb pode ver q se trata de um base64 e facilmente, jogar essa chave num decoder online e ver o ID original.

3 - No Login salva o real ID do cliente no cookie ou cache ou no storage do navegador e quando ele fizer o request enviar esse 'IDReal' e campara se são iguais. 
Como compararia se sao iguais ? Nao entendi.