(Ho anche posto questa domanda su StackOverflow .)
Quali misure posso adottare per impedire l'accesso non autorizzato a un metodo su un controller non autenticato?
Sfondo
Lo schema seguente illustra un microsito che stiamo implementando e un'API HMAC che forniamo (per diversi scopi) che restituisce dati commercialmente sensibili ai consumatori autenticati. Le frecce rappresentano la comunicazione prevista (verde) e non voluta (rossa).
Ilmicrositociconsentediraccoglieredatipercontodiuncliente.Saràraggiuntotramiteunacampagnae-mailperiloroutenti.Nonabbiamounastrettarelazioneconquestocliente,quindinonvogliocaricarlidiquestiproblemi.
L'APIHMACèdestinataalcompletamentoautomaticodell'indirizzo.C'ènessunloginperilmicrosito.Lapaginahaunindirizzodiinput.Perabilitareilcompletamentoautomatico,lapaginaeffettuaunachiamataAJAXalmetododisuggerimentodicompletamentoautomaticodelcontrolloredopoognisequenzaditasti.Ilmetododisuggerimentodelcompletamentoautomaticoeffettuaunarichiestaall'APIHMAC.
Ilproblema
Nonriescoavederenullacheattualmenteimpedisceilconsumodelmetododisuggerimentodicompletamentoautomaticodelcontroller.
Considerazioni
HolettocheAnitForgeryTokensnonèutilesu
Domanda
Quindi, come posso proteggere il mio metodo di controllo?