我有一个ASP.Net MVC应用程序,我希望允许客户端通过Web服务下载数据。 但是,我想只允许经过身份验证的客户端访问其数据。
刚开始我在web.config的路径中添加了deny users =“*”,但这在尝试添加webservice作为参考时会产生困难,因为我已经对应用程序进行了表单身份验证(重定向到我的登录页面) )。难度我的意思是,当您尝试在VS中添加服务引用时,您将被重定向到登录页面。然后,当页面不断刷新时,您会尝试登录(在“添加服务”屏幕中的浏览器中),这很奇怪。
我当前的解决方案是没有拒绝用户=“*”并且只检查每个方法的“IsAuthenticated”,这不是太糟糕,因为只有少数方法,但这确实暴露了可用的Web方法它不太安全吗?
有任何建议或更好的解决方案吗?
答案 0 :(得分:2)
你想:
deny users="?"
而不是:
deny users="*"
最重要的一个确保每个人都经过身份验证。
底部不允许任何人进入。