Kann ich abrufen userinfo von Inhaber-token auf der server-Seite — web-api 2?
Hier ist mein Szenario: ich habe eine MVC web Anwendung und Web-API. Web-Anwendung, die Aufrufe an web-api zum speichern/abrufen von Daten vom server.
Können sagen, dies ist ein Frage/Antwort Portal. Jetzt habe ich eine API, die gibt mir die userid, wenn ich Benutzername, Kennwort. Aber es gibt andere Bereiche in die website und Ihr einfach abrufen eines anderen Benutzers "userid". Ich werde mich immer an die userid in der session-Speicherung und das senden, dass in der POST-Objekt, wo es erforderlich ist. Nun kann jeder Benutzer einstellen können, die userid in der session-Speicherung und Sie können die Frage/Antwort im Namen der anderen user.
Wie kann ich dies verhindern? Ein Ansatz, den ich dachte, war aber nicht sicher, ob dies durchführbar ist die Lösung - können wir abrufen des userid von der mitgelieferten bearer-token auf dem server?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Sicher, dass Sie dies tun können, nachdem Sie eingerichtet-token basierende Authentifizierung in der Web-API mit der Ressource Besitzer credential flow, und wenn Sie das Attribut, das Sie geschützt Controller mit
[Authorize]
. Die gültigen bearer-token senden Sie diese geschützten endpoint erstellenClaimsPrincipal
AUFTRAGGEBER (Identität) - Objekt, in dem der Benutzer gespeichert ist, können Sie den Benutzernamen als unten:Weitere ausführliche Informationen, Lesen Sie meine ausführliche Beiträge über dieses Thema hier.