我有一个Silverlight应用程序,它将在开放的互联网上运行,基本上可供所有曾经住过的人使用。
该应用程序利用RIA Services来处理服务器上数据库中的数据。
应用程序创建,读取,更新和删除不同类型的数据,但我只希望在应用程序中进行这些操作。
这带来两个问题:
- 是否特别建议使用哪种类型的身份验证?表格或Windows?
- 有没有办法阻止某人“链接”到应用程序?也就是说,从包含页面复制HTML,将其粘贴到本地计算机上自己的HTML页面并运行它?最终目标是只允许应用程序嵌入直接从我的服务器和我的服务器请求的页面中运行吗?
答案 0 :(得分:2)
如果您的应用程序在内部网络上使用,则最好使用Windows身份验证。否则(就像你的情况一样)使用Forms身份验证。
Silverlight会自动阻止应用程序(除非它们以提升的信任运行)访问Internet上的资源(Web服务,HTML等),这些资源不是来自应用程序源自的域,除非该域具有根目录下的跨域策略文件。 Silverlight运行时会阻止此(而不是服务器),因此这是一个基于客户端的安全功能 - 而不是基于服务器。如果您的服务器上没有适用的跨域策略文件,那么当您的应用程序从您的服务器运行时,您的应用程序将只能与您的域服务进行通信(如您所愿)。应用程序将运行,但对这些服务的调用将失败。
您可以随时检查应用程序源自代码的域,如果您想阻止应用程序从其他域运行,则可以将其与硬编码域名匹配。
希望这会有所帮助......
克里斯