Обзор: что я сделал:
Я создал WEB API, и этот WEB API имеет множество методов GET & POST.Я также внедрил авторизацию токенов JWT, чтобы все запросы были аутентифицированы и авторизованы.
Постановка проблемы: Теперь все работает нормально, но что, если пользователь, который является аутентифицированным пользователем моего приложения, изменит значение route parameter?Запрос по-прежнему будет запросом с проверкой подлинности, но при этом он может получить доступ к чужой информации.
Один из способов исправить это - каждый раз, когда приложение отправляет какой-либо параметр Id, я должен проверить, является ли этоId принадлежит текущему пользователю или нет?Но я думаю, что это очень плохое решение.
Есть ли у кого-нибудь какие-либо предположения о том, как я могу защитить свои веб-API для таких случаев?Я думаю, что это часть самой базовой безопасности.Так что должно быть что-то, о чем я не знаю.Пожалуйста, помогите.