我很难理解这一点,谷歌也没有帮助。
我正在考虑转换一些遗留代码以使用以下技术:ASP.NET,WCF,jQuery。
ASP.NET转换不是问题,也不是在服务器端访问数据的WCF服务。
但是,我遇到的问题是可能能够保护服务,以便我可以返回JSON格式的数据,通过客户端的jQuery请求,但是将其锁定以防止外部访问。 / p>
对于这个特定的实现,它并没有那么重要,因为......类似准Ajax的功能已经存在了很长一段时间,并且没有被滥用。
但是,一旦这个项目完成,我想把我学到的东西转换成另一种经常被滥用的形式,并允许更流畅的显示。
如果我想对Web服务进行客户端调用,是不是让我的Web服务开放给匿名访问?
没有将Web界面保护到特定的用户子集(我认为保护已登录用户的附加功能没有问题),在这种情况下是否有任何其他策略来保护Web服务?我只是忽略了一些明显的东西吗?
答案 0 :(得分:0)
需要通过ajax对服务器端页面及其调用者进行经过身份验证的会话,并且都支持HTTPS。
另一种策略是使用在最后一次页面加载期间绑定到会话的令牌来确认会话本身没有被高举。这是在客户端加载页面时完成的。服务器跟踪下一个令牌必须是什么以确认有效请求。