假设我的WCF服务实现中有一个名为Login的方法,其定义如下:
[OperationContract]
[WebGet(UriTemplate="login/{username}/{password}")]
bool Login(string username, string password);
显然,传递像http://localhost:80/login/user1/pass1这样的东西不是很安全,那么如何在wcf休息场景中处理?
答案 0 :(得分:0)
一种选择是将整个网站作为SSL运行。
另一个提及是在POST中发送用户名和密码。
是否有强制要求你在JS中执行此操作的要求?
答案 1 :(得分:0)
另一种选择是进行一些客户端加密,其中用户和密码通过javascript加密,转换为base64,然后按照你在代码中显示的方式调用。
这显然不那么安全了,因为如果攻击者知道你是如何进行加密的(通过检查你的javascript代码),那么他就有可能破坏你的加密。但是,结合SSL,这可能是一个可行的解决方案,具体取决于您的网站的敏感性。