@700Hp

Postman и создание админ аккаунтов для сторонних сайтов. Как защитить себя?

Создаю систему авторизации для сайта.
Каждому пользователю по дефолту присваиваю роль(user).
Есть роль admin.
Есть форма, которая принимает майл и пароль, соответственно роль по дефолту USER

Так же есть сервис POSTMAN, на котором можно отправить запрос не с формы, а напрямую JSON, то есть указать role.
Как обезопасить свой проект от такого способа создания админ аккаунтов?
  • Вопрос задан
  • 59 просмотров
Решения вопроса 1
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Если вы используете корректный JWT, то роль должна хранится в нём. Токен защищён подписью и подставить в него произвольное значение не получится.
При входе по логину/паролю роль берётся из базы данных, передавать её в форме не надо.
При создании нового пользователя админом на бэке проверяется роль отправившего запрос (в токене).
При самостоятельной регистрации нового пользователя принудительно назначается роль "user" и поднять её может только действующий админ.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы