API HMAC esposta attraverso il sito pubblico?

0

(Ho anche posto questa domanda su StackOverflow .)

Quali misure posso adottare per impedire l'accesso non autorizzato a un metodo su un controller non autenticato?

Sfondo

Lo schema seguente illustra un microsito che stiamo implementando e un'API HMAC che forniamo (per diversi scopi) che restituisce dati commercialmente sensibili ai consumatori autenticati. Le frecce rappresentano la comunicazione prevista (verde) e non voluta (rossa).

Ilmicrositociconsentediraccoglieredatipercontodiuncliente.Saràraggiuntotramiteunacampagnae-mailperiloroutenti.Nonabbiamounastrettarelazioneconquestocliente,quindinonvogliocaricarlidiquestiproblemi.

L'APIHMACèdestinataalcompletamentoautomaticodell'indirizzo.C'ènessunloginperilmicrosito.Lapaginahaunindirizzodiinput.Perabilitareilcompletamentoautomatico,lapaginaeffettuaunachiamataAJAXalmetododisuggerimentodicompletamentoautomaticodelcontrolloredopoognisequenzaditasti.Ilmetododisuggerimentodelcompletamentoautomaticoeffettuaunarichiestaall'APIHMAC.

Ilproblema

Nonriescoavederenullacheattualmenteimpedisceilconsumodelmetododisuggerimentodicompletamentoautomaticodelcontroller.

Considerazioni

HolettocheAnitForgeryTokensnonèutilesu OTTIENE metodi o pagine non protette , e non posso utilizzare un una tantum token perché questo metodo verrà chiamato più volte.

Domanda

Quindi, come posso proteggere il mio metodo di controllo?

    
posta OutstandingBill 10.08.2017 - 04:59
fonte

1 risposta

1

prevent unauthorised access to a method on an unauthenticated controller

Se non si dispone dell'autenticazione e dell'autorizzazione ( "controller non autenticato" ), non può esistere alcun accesso non autorizzato: ad esempio, ogni accesso è consentito. E ciò che non esiste non può essere prevenuto.

Se potessi definire cosa significa accesso non autorizzato nel tuo caso d'uso, potresti essere in grado di aggiungere un'autorizzazione che lo impedisce.

    
risposta data 10.08.2017 - 06:37
fonte

Leggi altre domande sui tag