增强 ASP.NET 核心 Web API 未经授权获取终结点的安全性

Enhance the security of ASP.NET Core Web API unauthorized get endpoint

提问人:Mihir Shah 提问时间:8/17/2023 最后编辑:marc_sMihir Shah 更新时间:8/17/2023 访问量:36

问:

我有一个网络(管理面板)和另一个是另一个域的前端站点的情况。现在我想提供“模拟”功能,晚餐管理员可以获得其公司用户的访问权限并访问整个站点(前端网站)。现在端点是未经授权的 GET 端点,如何增强 API 调用安全性。

我尝试过的方法:

  1. 有一个我从管理面板传递到前端站点的公共密钥,因此前端站点将使用相同的密钥调用 API,但假设密钥以某种方式被盗,那么任何人都可以通过该用户访问该站点。

有人对此有很强的机制吗?

asp.net-core asp.net-core-webapi api-security

评论

答:

1赞 Brando Zhang 8/17/2023 #1

我建议您可以尝试生成通用密钥,它将在特定时间跨度内过期。

此外,您可以考虑将 Web API 设置为仅允许特定 IP 访问该站点,以避免其他人获取密钥并访问该站点。

上一个:CarrierWave 图像上传器 - POST 请求发送正确的参数,但图像将图像保存为“image”:{“url”:null}

下一个:在解码原始JSON之前如何进行验证?