Postman и создание админ аккаунтов для сторонних сайтов. Как защитить себя?

Question

[700Hp]

Создаю систему авторизации для сайта.
Каждому пользователю по дефолту присваиваю роль(user).
Есть роль admin.
Есть форма, которая принимает майл и пароль, соответственно роль по дефолту USER

Так же есть сервис POSTMAN, на котором можно отправить запрос не с формы, а напрямую JSON, то есть указать role.
Как обезопасить свой проект от такого способа создания админ аккаунтов?

Answer 1

[Rsa97]

Если вы используете корректный JWT, то роль должна хранится в нём. Токен защищён подписью и подставить в него произвольное значение не получится.
При входе по логину/паролю роль берётся из базы данных, передавать её в форме не надо.
При создании нового пользователя админом на бэке проверяется роль отправившего запрос (в токене).
При самостоятельной регистрации нового пользователя принудительно назначается роль "user" и поднять её может только действующий админ.

Comments

[700Hp]

const generateJwt = (id, email, role) => {
  return jwt.sign({ id, email, role }, process.env.SECRET_KEY, {
    expiresIn: '24h',
  })
}
const { email, password, role } = req.body
const user = await User.create({ email, role, password: hashPassword })

const token = generateJwt(user.id, user.email, user.role)

return res.json({ token })

Если проходить регистрацию на сайте, используя форму, то соответсвенно выбора роли там не дано.

{
 "email": "adasd@mail.ru"
 "password": "12343"
 }

А с POSTMAN могу отправить так:

{
    "email": "andrey@gmail.com",
    "password": "A123456",
    "role": "ADMIN"
}

[Rsa97]

700Hp, Любые данные, пришедшие с фронта, должны валидироваться на бэке.
Повторю: при самостоятельной регистрации нового пользователя роль должна принудительно устанавливаться в user.

const { email, password } = req.body
validateEmail(email);
validatePassword(password);
passwordHash = password_hash(password, PASSWORD_DEFAULT);
const user = await User.create({ email, 'user', password: passwordHash })