0
我有一個WebApi與ASP.Net MVC5框架,實現無記號令牌安全。.Net WebApi - 不記名令牌安全和瀏覽器本地存儲
一旦用戶通過身份驗證,webapi方法就會爲需要身份驗證的下一個api調用返回不記名令牌。
所有工作正常,但我需要澄清一些doupts:令牌被返回給客戶端
後,其他客戶端調用一個方法的WebAPI返回用戶的詳細信息,所有存儲在瀏覽器本地存儲。
我的問題是:
我認爲本地應用程序(與Angular2製造)並不安全,因爲它使用與令牌和用戶信息的本地存儲。
如果用戶更改本地存儲(如角色爲例),他可以模擬其他角色的用戶的詳細信息...
現在的問題是真實的嗎? 如果是這樣,即使身份驗證與持票人令牌一起使用,是否可以在WebApi中實現導航會話?
謝謝支持
您的不記名令牌由Asp.Net Identity加密,並且該令牌應該包含用戶所屬的角色。 –
添加到@BrendanGreen,重新這可能會有助於您的情況下,http://stackoverflow.com/questions/17280390/can-local-storage-ever-be-considered-secure – Anil