Closed r-saito-cw closed 1 year ago
外部APIを呼び出す際は、クッキーのセッション情報を用いてオペレーターサービス.セッションチェックAPIを通してセッションの取得(= ログイン状態の確認)を行う。 一方、API内でプロキシを介してAPIを呼び出す(Block間通信を行う)場合には、ヘッダーにセッション情報を入れてプロキシサービスを呼び出し、プロキシサービスではヘッダーからセッション情報を取得する。
しかし、適切な形式のセッション情報をヘッダーに設定した状態で外部からサービスを実行する場合において、セッションチェックを行わずにAPI実行が可能な状態となっていた。
外部APIを呼び出す際は、クッキーのセッション情報を用いてオペレーターサービス.セッションチェックAPIを通してセッションの取得(= ログイン状態の確認)を行う。 一方、API内でプロキシを介してAPIを呼び出す(Block間通信を行う)場合には、ヘッダーにセッション情報を入れてプロキシサービスを呼び出し、プロキシサービスではヘッダーからセッション情報を取得する。
しかし、適切な形式のセッション情報をヘッダーに設定した状態で外部からサービスを実行する場合において、セッションチェックを行わずにAPI実行が可能な状態となっていた。