私はSPAアプリケーションを構築する上でセキュリティ上の懸念があります。Web APIセキュリティ上の懸念があるスパアプリケーション。 JWTを使用してログインしたユーザーがAPIにランダムリクエストを行うことはできますか
エンドユーザーがトークンを持っている限り、Web APIを呼び出すのを止めているのは何ですか?
たとえば、私はSpaウェブアプリケーションのエンドユーザーであり、ログインフォームを使用してログインします。私に提供されたJWTトークンにアクセスしてください(これは簡単です)。その後、郵便配達員を開き、すべての呼び出しを可能にして、そのトークンをすべての要求のヘッダーに入れてみてください。
私は、Web API認証のためにUIを通じて許可された呼び出ししかできないと仮定しています。
これを防ぐためのセキュリティはありますか、それとも基本的にWeb APIに適切な権限があることを確認していますか?