我们有一个MS CRM 2011的内部部署,一些表单运行自定义javascript来预先填充某些字段。数据来自我们开发的WCF RESTful Web服务,该服务在与CRM相同的物理服务器上运行。该服务作为CRM网站中的应用程序托管在IIS中,以避免跨域脚本编写问题。 Javascript发出ajax请求(使用jQuery),获取JSON格式的回复,并填充字段。
到目前为止,一切正常,但我现在开始考虑安全性和身份验证。具体来说,我希望我们的Web服务仅回复有效的CRM用户,因为某些数据可能是敏感的。不需要单独的身份验证,所有CRM用户都将具有相同级别的访问权限,因此某种服务帐户可以使用。
到目前为止,我正在考虑进行Windows身份验证,自定义Web服务查询CRM以查看在完成请求之前CRM中是否存在(已经过域验证的)用户。我对安全性的经验相当少,所以即使是一般的提示也会受到欢迎。
答案 0 :(得分:0)
因为您已经提到所有用户都具有相同的访问级别,您可以将用户的访问级别发送到Web服务以确定要返回的内容。