Мой веб-API генерирует access_token и refre sh токен и сохраняет их в не HttpOnly cook ie. Время истечения access_token составляет 30 минут. Единственная причина хранить токен в куки-файлах заключается в том, что я должен передавать их в заголовке при каждом вызове API. Я пытался сохранить их как HttpOnly cook ie, но тогда я не смог найти набор их в заголовке. (Я понимаю, что HttpOnly cook ie недоступны на стороне клиента).
Проблема здесь в том, что каждый может просмотреть эти куки и украсть их. Я попытался скопировать access_token из cook ie и смог сделать веб-вызов API от почтальона и фиддлера, установив этот access_token в заголовке.
- Как определить и предотвратить вызовы такого типа?
- Как предотвратить вызов веб-API из неизвестного домена (если он не включен в белый список)?