私はWebApiにASP.Net MVC5フレームワークを実装していますベアラートークンセキュリティ。.Net WebApi - ベアラトークンセキュリティとブラウザローカルストレージ
ユーザーが認証されると、webapiメソッドは、認証が必要な次回のapi呼び出しのためのベアラトークンを返します。
すべてが正常に動作しますが、私はいくつかのdouptsを明確にする必要があります。
トークンがクライアントに返された後、WEBAPIメソッドに別のクライアントコールがユーザの詳細を返し、すべてがブラウザのローカルストレージに保存されています。
私の質問は:
私はそれがトークンとユーザー詳細をローカルストレージを使用しているため(Angular2で作られた)ローカルアプリケーションが安全ではないと思われます。
ユーザーが(例えば役割など)のローカルストレージにユーザーの詳細を変更した場合、彼は別の役割を偽装することができます...
は今、問題の本当ですか? そうであれば、ベアラトークンで認証を使用してもWebApiにナビゲーションセッションを実装することは可能ですか?
ベアラトークンはAsp.Net IDで暗号化されており、そのトークンにはユーザーが所属するロールが含まれている必要があります。 –
を@BrendanGreenに追加すると、これを参考にしてください。http://stackoverflow.com/questions/17280390/can-local-storage-ever-be-considered-secure – Anil