0
我有一个WebApi与ASP.Net MVC5框架,实现无记号令牌安全。.Net WebApi - 不记名令牌安全和浏览器本地存储
一旦用户通过身份验证,webapi方法就会为需要身份验证的下一个api调用返回不记名令牌。
所有工作正常,但我需要澄清一些doupts:令牌被返回给客户端
后,其他客户端调用一个方法的WebAPI返回用户的详细信息,所有存储在浏览器本地存储。
我的问题是:
我认为本地应用程序(与Angular2制造)并不安全,因为它使用与令牌和用户信息的本地存储。
如果用户更改本地存储(如角色为例),他可以模拟其他角色的用户的详细信息...
现在的问题是真实的吗? 如果是这样,即使身份验证与持票人令牌一起使用,是否可以在WebApi中实现导航会话?
谢谢支持
您的不记名令牌由Asp.Net Identity加密,并且该令牌应该包含用户所属的角色。 –
添加到@BrendanGreen,重新这可能会有助于您的情况下,http://stackoverflow.com/questions/17280390/can-local-storage-ever-be-considered-secure – Anil