.net core mvc güvenlik

Arkadaşlar ben içerikleri asenkron olarak silmek veya güncellemek için bir şeyler yazdım.

Yukarıdaki gibi bir metodum var. Bu metodu identity ekleyerek sadece adminin erişebileceği bir metod yapacağım. Ancak sorun adminin bir fetch ile istediği yazıyı url adresiyle birlikte silebilmesi.
fetch(`https://localhost:5001/admin/deletepost?delete=asd`)
Örneğin yukarıdaki get işlemini admin ana sayfada yapsa bile içeriğin silinmesi için url i göndermek yetiyor. Sadece çerezin olup olmadığı kontrol ediliyor. Az sonra direk httpost ile klasik yönteme döndürüp token kontrolü yapacağım ancak bunu güvenli hale getirmenin bir yolunun olup olmadığını merak ediyorum doğrusu. Bilen bir arkadaş beni aydınlatırsa sevinirim.

ASP.NET sürümlerinde ve Özellikle MVC yapısı ile uygun Authorize yapısı mevzut ,
Bunu iler iseniz Controller başında attribute kullanıp tüm Controlleri kapsamasını sağlayabiliyorsunuz
Autherization olarak araştıra bilirsiniz.

Merhabalar, güvenlik önlemleri için alabileceğiniz bir çok yöntem mevcut. Bunlardan bazıları url yetkilendirmesi, custom filter attribute vb. Bu işlemi kolay bir şekilde JWT token ile gerçekleştirebilirsiniz. bunun için token üreteceğiniz ayrı bir api olması (önerilir) gerekiyor. Bu api üzerinden gönderilen kullanıcı bilgileri ile login işlemi sağlanıp jwt token üretilerek geri dönülür. Bu JWT token içerisine role eklemesi ile yetki vermek istediğiniz alanlar için tanımlamalar yapabilirsiniz. Ardından bu yetkilendirmeyi uygulamak istediğiniz yerde attribute olarak eklemeniz yeterli olacaktır.

Hocalarım admin girişi olduğunda çerezler ekleniyor ve kullanıcı admin oluyor. Ancak admin herhangi bir kullanıcı sayfasında bu get talebini gönderirse bir form olmadığından sadece get talebi olduğundan direk adminin linke tıklaması bir içeriği silebiliyor. Formum olmadığından token oluşturamıyorum. Galiba api yazmadan bir çözüm yolu gözükmüyor. HTTP POST a çevireceğim ama token için api gerekiyor anladığım kadarıyla. Çünkü kullanıcı <a href="https://localhost:5001/admin/deletepost?delete=asd">Tıkla</a> admini bu tür bir linkte tıklattırırsa asd url sine sahip kayıt anında siliniyor. Tek çare api yazmak gibi. Yardımlarınız için teşekkür ederim.

Anladığım kadarıyla burada linki kopyalayıp başka sekmede açıp işlem yapabilmesi problem olarak görünüyor. Bunun içinde cors ve request yapılan bilgileri kontrol eden custom filter attribute yazılabilir. Yani isteklerin sadece uygulama üzerinden olması, diğer yeni sekmede açma postman üzerinden atma gibi işlemlerin kısıtlanması sağlanabilir.

Teşekkürler hocam.