Аутентификация и защита фасада
От: Stalker. Австралия  
Дата: 08.10.17 05:33
Оценка:
Имеется система (ASP.NET MVC), состоящая из вебформы, которая из своих контроллеров стучится в фасад WebAPI для обработки бизнес логики (т.е. WebAPI находится внутри сети). Требуется обеспечить защиту. Достаточно-ли такого подхода:

1) Сертификат, т.е. WebAPI позволяет подключится контроллеру вебформы только если тот имеет сертификат (дополнительно можно проставить ip адрес)
2) Контроллеры вместе с запросом посылают фасаду токены с клеймами, которые содержат id подключившегося пользователя и его роль. Теперь в фильтре метода WebAPI я смогу проконтролировать что пользователь принадлежит к нужной роли, а далее информация которую будем брать из базы будет отфильтровываться по его id. Например если пользователь с ролью "Владелец Кредитной Карты" хочет получить список транзакций по своей карте, то во-первых будет проконтролировано что он принадлежит этой роли, а транзакции отфильтруются по его id.

Достаточно-ли этого, или требуется что-то еще согласно OWASP top 10?
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.