Запрет доступа пользователям к конечной точке веб-API ASP.NET Core ⇐ C#

[Anonymous]

У меня есть конечная точка в моем API, например: api/users/{:userId}/...
Мне нужен только пользователь с идентификатором пользователя чтобы иметь доступ к своей конечной точке, а не к конечным точкам любого другого пользователя.
Я реализовал токен JWT Bearer, который используется для авторизации. Я получаю от него идентификатор и проверяю, соответствует ли он маршруту, к которому хочет получить доступ пользователь:

Код: Выделить всё

[HttpGet("{userId:int}"), Authorize]
public async Task GetUserById([FromRoute] int userId)
{
var id = int.Parse(User.FindFirstValue(ClaimTypes.NameIdentifier));

if (id != userId)
{
return BadRequest("Access denied.");
}

var user = await unitOfWork.UserRepository.GetUserByIdAsync(userId);

if (user == null)
return NotFound("User not found");

return Ok(user);
}

Я не думаю, что это правильный подход. Токен можно легко подделать, а идентификатор изменить. Как еще я мог это сделать?

Подробнее здесь: https://stackoverflow.com/questions/791 ... i-endpoint