Защита веб-API с использованием случайного номера сеанса - PullRequest
0 голосов
/ 14 октября 2018

Я делаю веб-API / Rest API в MVC, где каждый API принимает один параметр с именем user_session

Поэтому, когда пользователь входит в систему, я генерирую сеанс из 10 цифр и передаю его пользователю, которыйдолжен быть предоставлен в качестве входных данных для любых последующих вызовов API.

Вот как выглядит мой типичный код:

$.ajax({
   url: '@Url.Action("GetUserDetail", "myapi")',
         type: "GET",
        data: { UserID: '@user.user_id', SessionID: '@user_session' },
        dataType: "json",
        success: function (response) {
        }
})

Мой вопрос: правильный ли это подход или есть ли лучший способ сделать это?Это безопасно?

1 Ответ

0 голосов
/ 14 октября 2018

Вы можете очень хорошо использовать HTTP Cookies для запоминания сеанса вместо ручной передачи его в качестве параметра для каждого запроса.

Я очень кратко объясню эту тему.

  1. Сервер устанавливает файл cookie при входе пользователя в систему.
  2. Этот файл cookie будет отправляться всем вызовам API, поскольку он определен как файл cookie HTTP.
  3. Сервер может проверить или узнать о сеансе, используя это значение cookie в заголовке запроса.
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...