İnternet Üzerinde Yayınlanmış API ' yi Koruma

ismailkaygisiz

Arkadaşlar benim elimde ASP.Net Core ile geliştirilmiş bir API var fakat bu API' deki verilere herkes erişebiliyor örnek vermek gerekirse https://apideneme.somee.com/api/cars/getall bu adreste benim yapmış olduğum https://ismailkaygisiz.github.io/ReCapProject/ sitesine ait datalar var gördüğünüz gibi herkes bu datalara erişebiliyor bütün dataları da şifrelemek istemiyorum buraya doğrudan erişimi kapatmanın sadece benim izin verdiğim veya benim belirlediğim bir güvenlik yöntemiyle girmenin bir yolu var mı?

ismailkaygisiz

ismailkaygisiz Bu soruna da çözüm buldum tam olarak koruma sağlamasa da en azından kullanıcıların bilgilerinin ele geçirilmesini önlüyor.

Benzer bir problemle benzer bir teknlojiyi kullanarak karşılaşan varsa anlatıyorum çözümü:
İlk önce benim sistemim hesap ve yetkilendirme işlemleri için JWT kullanıyor.
JWT içinde kullanıcının id sini veya emailini saklamanız gerekiyor. (Maksat kullanıcıya özel olması sadece ona erişmemizi sağlamalı)
Daha sonra bir middleware veya servis yazarak bu datalara erişmeniz gerekiyor
Daha sonra yetkilendirme yapacağınız yerde istek yapan kullanıcının verisiyle (JWT den gelen) üzerinde işlem yapmak istediği kullanıcının verisi eşleşiyorsa (if kullanarak yapabilirsiniz) işlemi yapmasına izin vermelisiniz.

Eğer değilse yani normal kullanıcı başka bir kullanıcıya erişmeye veya o kullanıcıya ait bir şeyleri değiştirmeye çalışıyorsa işleme izin vermemelisiniz.

Mantığı bu şekilde şimdilik güvenliği sağlıyor ileride daha gelişmiş bir yöntem bulursam yine burada paylaşırım.

https://github.com/ismailkaygisiz/ArtChitecture
Projenin kodlarını incelemek isteyenler ve nasıl yapıldığını merak edenler için de link bırakıyorum.