none
NET Core API RRS feed

  • Pergunta

  • Quando um usuario tenta acessar uma url do meu site (www.meusite.com/cliente/1) ele precisara estar logado para ver esta pagina.

    No entanto uma vez logado, ele pode mudar a url para www.meusite.com/cliente/2 e ter acesso aos dados de outro cliente tb.
    Como faco pra pessoa logada ter acessso SOMENTE A SUA PAGINA, depois de logada ?

    Abracos

    quarta-feira, 7 de outubro de 2020 03:15

Todas as Respostas

  • Existem inúmeras formas de fazer isso, das mais incomuns as mais 'modernas'.

    1 - Tu pode não passar o ID do cliente por URL via GET e utilizar POST, armazenando a informação de ID do cliente em uma session;

    2 - Tu pode converter esse ID pra um base64 e desconverter quando chegar na API, assim o cliente não sabe que o que ta na URL é um ID;

    3 - No Login salva o real ID do cliente no cookie ou cache ou no storage do navegador e quando ele fizer o request enviar esse 'IDReal' e campara se são iguais. 

    Enfim, Tudo depende do teu projeto!

    quarta-feira, 7 de outubro de 2020 17:40
  • Davi, Obrigado pela resposta, mas ainda tenho algums duvidas:

    1 - Tu pode não passar o ID do cliente por URL via GET e utilizar POST, armazenando a informação de ID do cliente em uma session;
    *** Se eu passar via post, qualquer pessoa que tenha uma nocao, pode clicar com o botao direito na tela e inspecionar o elemento. Dai indo na aba Network do Developer tools, ele pode facilmente ver o ID sendo passado.

    2 - Tu pode converter esse ID pra um base64 e desconverter quando chegar na API, assim o cliente não sabe que o que ta na URL é um ID;
    A mesma pessoa tb pode ver q se trata de um base64 e facilmente, jogar essa chave num decoder online e ver o ID original.

    3 - No Login salva o real ID do cliente no cookie ou cache ou no storage do navegador e quando ele fizer o request enviar esse 'IDReal' e campara se são iguais. 
    Como compararia se sao iguais ? Nao entendi.

    sábado, 17 de outubro de 2020 05:30