Как лучше обезопасить запрос?

Question

[Tsiren Naimanov]

У меня есть одна вьюшка.
В этом же контроллере есть например 3 метода.
Например, добавить, удалить, обновить количество яблок.
Что лучше использовать?
Ajax форму?
с @Html.AntiForgeryToken()
или простой запрос при клике controller/action/???
получается на одной view, мне надо запилить три ajax формы с AntiForgeryToken()
UPD:
я читал https://habrahabr.ru/sandbox/86785/ пост, перед написанием этого вопроса...
Мне необходимо так скажем узнать, что будет правильнее
запрос controller/action с помощью так скажем этого поста или пилить целую форму под каждый запрос???

Answer 1

[Роман]

https://habrahabr.ru/sandbox/86785/ может это поможет, в принципе подходит под вашу задачу. Если работаете с ajax, то есть вариант сделать WebAPI с Bearer токеном.

вот пример как работать с токенами

https://github.com/rfaisal/ASPWebAPI_Example_OAuth...

Comments

[Tsiren Naimanov]

я читал этот пост, перед написанием этого вопроса...
Мне необходимо так скажем узнать, что будет правильнее
запрос controller/action с помощью так скажем этого поста или пилить целую форму под каждый запрос???

[Роман]

Tsiren Naimanov: в _Layout.cshtml делаете форму, в ней @Html.AntiForgeryToken(), при запросе копируете значение поля в данные запроса, и отправляете. Я бы вам порекомендовал бы WebAPI с Bearer токеном, проще один раз запросить сеансовый токен, чем возиться каждый раз с AntiForgeryToken, плюс второй вариант сочетается с авторизацией, [Authorize] атрибут и все, посторонние отсечены.

[Tsiren Naimanov]

Роман: ну так скажем, layout у меня один на 5 вьюшек в том числе и регистрация/авторизация дефолтная от майкров identity
но мои 3 контроллера и в каждом по 15 примерно методов rest геты посты. И все они ориентированы на авторизованных пользователей
атрибут Authorize чекну, прогуглю про него
примерно знаком с ним, но конкретно не имел дел :)
спасибо :) будем гуглить и учиться

[Tsiren Naimanov]

Роман: просмотрел Authorize, да это классно, но что если будет какой нибудь webclient который с легкостью может спамить запросами если вытащит куки даже из браузера и засунет в прогу
как обезопасится от спама?)

[Tsiren Naimanov]

Tsiren Naimanov: rion.io/2013/02/24/prevent-repeated-requests-using... вот загуглил про борьбу со спамом :)
будемс дальше копать

[Роман]

Tsiren Naimanov: ну от веб клиента тяжело защиту сделать, тут или делать ограничение по запросам во времени, например по IP или токену. В общем сделать нормальный WebAPI с авторизацией по Bearer токенам, это решит большинство проблем ваших.

[Роман]

Tsiren Naimanov: Посмотрел ссылочку, не решит проблему (противодействие веб-клиенту), а может создать еще большие проблемы, например два нормальных пользователя не смогут получить доступ одновременно, ибо для идентификации клиента, используются не уникальные данные клиентов.