我想知道是否有任何人在那里以我的方案的简化分辨率,我现在没有想法。
我有一个WebAPI服务,我想要在另一个域上,而不是我的网站调用它。此服务已受到保护,因此需要进行基本身份验证。
我想从jQuery调用它,你不能发送“jsonp”请求,因为你无法设置请求头,我不能使用json,因为我必须使用CORS这是IE6 / 7不支持的,因此也不可行。
我可以使用其他选项让我的方案有效吗?
答案 0 :(得分:1)
如果您要在Javascript中创建auth标头,那么您的身份验证/安全性就会受到影响(客户端=凭据对任何客户端都可见)。
您还可以在网址(而非标题)中发送基本身份验证凭据:http://user:pass@my_domain.com(您应该不)。
您可以在调用应用程序中创建/调用服务器端“代理”,实际执行http request - 您可以完全控制所需的任何标头。
由于您正在实施基本身份验证明文,因此希望您也使用SSL。您的凭据对客户端不可见(呼叫是服务器端)。
然后,调用将是您对Javascript / jQuery的“本地”。
问题:除非您过滤/验证对代理的请求,否则它几乎会使身份验证失败。
H个....