API HMAC esposta attraverso il sito pubblico?

Question

API HMAC esposta attraverso il sito pubblico?

#1 da (1 voti)

0

(Ho anche posto questa domanda su StackOverflow .)

Quali misure posso adottare per impedire l'accesso non autorizzato a un metodo su un controller non autenticato?

Sfondo

Lo schema seguente illustra un microsito che stiamo implementando e un'API HMAC che forniamo (per diversi scopi) che restituisce dati commercialmente sensibili ai consumatori autenticati. Le frecce rappresentano la comunicazione prevista (verde) e non voluta (rossa).

Ilmicrositociconsentediraccoglieredatipercontodiuncliente.Saràraggiuntotramiteunacampagnae-mailperiloroutenti.Nonabbiamounastrettarelazioneconquestocliente,quindinonvogliocaricarlidiquestiproblemi.

L'APIHMACèdestinataalcompletamentoautomaticodell'indirizzo.C'ènessunloginperilmicrosito.Lapaginahaunindirizzodiinput.Perabilitareilcompletamentoautomatico,lapaginaeffettuaunachiamataAJAXalmetododisuggerimentodicompletamentoautomaticodelcontrolloredopoognisequenzaditasti.Ilmetododisuggerimentodelcompletamentoautomaticoeffettuaunarichiestaall'APIHMAC.

Ilproblema

Nonriescoavederenullacheattualmenteimpedisceilconsumodelmetododisuggerimentodicompletamentoautomaticodelcontroller.

Considerazioni

HolettocheAnitForgeryTokensnonèutilesu OTTIENE metodi o pagine non protette , e non posso utilizzare un una tantum token perché questo metodo verrà chiamato più volte.

Domanda

Quindi, come posso proteggere il mio metodo di controllo?

authentication asp.net-mvc ajax

posta OutstandingBill 10.08.2017 - 04:59

fonte

1 risposta

Leggi altre domande sui tag authentication asp.net-mvc ajax

Crittografia password esterna Traccia botnet: È probabile che SvcHost RemoteIP sia falso?

score 1 · Accepted Answer

prevent unauthorised access to a method on an unauthenticated controller

Se non si dispone dell'autenticazione e dell'autorizzazione ( "controller non autenticato" ), non può esistere alcun accesso non autorizzato: ad esempio, ogni accesso è consentito. E ciò che non esiste non può essere prevenuto.

Se potessi definire cosa significa accesso non autorizzato nel tuo caso d'uso, potresti essere in grado di aggiungere un'autorizzazione che lo impedisce.