Web方法调用的安全建议

时间:2016-01-21 09:00:55

标签: asp.net angularjs security wcf-security

所以,我有一个网站(我们称之为MySite)。我们主要使用.NET实现它。最近引入了角度JS,我们创建了使用角度JS库的aspx页面。

最近有一项要求,我们必须在网站内的虚拟目录(我们称之为MyVirtualDirectory)上开发登录模块。请注意,该网站已使用登录方法(通过.NET中的按钮单击事件处理程序处理)。在MyVirtualDirectory登录模块上输入用户名和密码后,想法是调用现有的身份验证登录方法(当前由网站使用)。因此,为此,我们编写了一个Web方法,我们从此Web方法中调用login方法。并且从角度代码调用此Web方法。一切都按预期工作,登录Web方法返回true或false

虽然功能上的东西按预期工作,但我对安全方面不太满意。其中一个安全限制是,我们编写的Web方法只能从Web站点中调用。我们考虑了几个选项

  1. 一个是在虚拟目录主页的加载上有一个cookie。在调用Web方法时,请检查此cookie。显然,这有一系列问题,因为cookie可以由任何人设置

  2. 接下来是在虚拟目录主页的页面加载上有一个会话变量。并在调用Web方法时检查此会话变量。这比第一种选择更安全,但我仍觉得它有点脆弱

    任何其他想法/考虑 - 总而言之,我的问题是,如何安全地调用Web方法并确保仅从网站内进行调用?

    提前致谢

0 个答案:

没有答案