好的,让我描绘一下这个场景,以便我们开始讨论。
我有一个在.NET MVC 2上开发的Web应用程序,现在我想开始在移动WebApp中调用几个控制器操作。
这些控制器将返回JSON数据,其目的是在移动应用程序中使用AJAX调用。
如果我理解正确,最好的方法是使用CORS,但是我没有看到有关安全性的全貌。
如何管理从移动应用程序到Web服务器的用户验证? 我应该在客户端和服务器之间实现某种类型的复杂令牌跳舞来强制执行安全性吗? 如何使用移动应用程序调用来识别服务器上经过验证的会话?
编辑:好的,http://www.w3.org/TR/cors/给出了第4点关于在CORS上启用身份验证的内容,时间和原因的良好见解。现在,我正面临着恐惧的方式。