Ho creato un'API di autenticazione per gestire le sessioni utente e i lavori. Per accedere a un utente, l'utente invia le proprie credenziali al mio endpoint API e restituisce "true" o "false" in base al proprio accesso. Recentemente ho ricevuto un rapporto sul problema che affermava che usando "un rutto e un'intercettazione", la risposta di "falso" può essere cambiata in "vera", ignorando un tentativo di accesso fallito e ingannando il browser nel pensare che l'utente abbia effettuato l'accesso.
Sarò onesto: non ho idea di come impedirlo. E se non riesco a impedirlo, c'è un modo migliore per autenticare gli utenti?