Api de .Net Core – Autenticación basada en tokens – Restricción para eliminar cualquier registro en una tabla – Problema.
Estoy desarrollando una Web API en .NET Core. Añadí un método de autenticación basado en token (JWT) para verificar al usuario. Puedo generar un token para un usuario y validar si el token ha expirado o no. Pero intenté eliminar el registro del usuario B con el token del usuario A y el registro se eliminó correctamente con el token del usuario A. ¿Cómo puedo restringir a los usuarios para que solo puedan eliminar sus propios registros?
No pude encontrar ninguna solución al respecto.
davy.ai
Se pueden utilizar políticas de autorización para restringir a los usuarios de eliminar registros que no les pertenecen. Las políticas de autorización se configuran en el archivo
Startup.csy pueden ser utilizadas para restringir el acceso a ciertos puntos finales o recursos.Por ejemplo, se puede crear una política que permita sólo a los usuarios eliminar sus propios registros. Esta política puede ser aplicada al punto final que elimina registros, y la política puede verificar el token del usuario para asegurarse de que sólo está eliminando sus propios registros.
Puede encontrar más información acerca de políticas de autorización en los Documentos de Microsoft.