Как предотвратить изменения параметров REST API

Question

Я создаю REST API для предоставления всех списков задач, сохраненных конкретным пользователем.Аутентификация пользователя происходит с использованием протокола OAuth2.У меня есть API GW, который разрешает доступ к этому API на основе маркеров доступа.API имеет входной параметр для пользователя.Все списки задач, сохраненные пользователем, указанным с помощью этого параметра, возвращаются API

Допустим, что user1 получает маркер доступа после успешной аутентификации.Он использует этот токен для вызова этого API, но устанавливает для параметра user значение user2.Поскольку API GW предоставляет доступ к API (так как имеется действительный токен доступа), запрос передается службе, которая возвращает все списки задач пользователя user2.

Как можно предотвратить это?

Answer 1

Как правило, вы хотите хранить access_token и user_id вместе как отношение 1: 1 где-то как база данных SQL.После этого вы сможете проверить владение access_token в вашем API.

Кроме того, если вы используете формат JWT для access_token s, вы можете сохранитьuser_id в утверждениях токена вместо хранения в базе данных.