我的WCF服务中有一个可以删除用户的方法。通过对我的WCF方法的JSON调用,可以使用此功能。 (IE:Users / Delete / 20将删除用户20.)如何才能使用户输入Users / Delete / 20无权删除用户?或者某人伪造JSON请求。我已经阅读了ValidateAntiForgeryToken属性,但这似乎对我没有帮助。我使用它错了吗?
答案 0 :(得分:0)
可能已经实现了删除用户的功能,因为确实允许某些人删除用户。您的服务需要的是身份验证(识别用户)和授权(检查只有权限的用户才能执行某些方法)。
如果您拥有身份验证和授权,则无需担心客户端访问您的服务。
如果您提供更多信息,我可能会更具体。谁允许删除用户?他们使用了哪些客户端?谁不允许删除用户?那些被允许删除用户的人可以删除任何用户吗?或者他们只能删除某些用户(例如属于同一部门的用户)吗?
(请将您的删除方法设为一个只能作为POST请求执行而不能作为GET请求执行的方法。)