Безопасность сеанса и ASP.NET Ajax

Question

Я начинаю использовать ASP.NET Ajax. Следуя рекомендациям Eric Pascarello's, я всегда работаю в предположении, что все может исходить с клиентской стороны (включая поддельные запросы).

Одним из вопросов, на которые я с трудом учитываю, является аутентификация пользователей. Поскольку мы используем встроенный механизм управления сеансом .NET, я немного не осведомлен о том, какие угрозы безопасности существуют в веб-службах.

Что мне нужно сделать, чтобы быть уверенным, что пользователь - тот, кем он говорит, что он (достаточно разумной)? Используется

[WebMethod(EnableSession = true)] 

достаточно?

Благодаря

Answer 1

Вот как вы убедитесь, что объект Session доступен в вашем методе. Если вы хотите убедиться, что они прошли проверку подлинности, настройте его в своем web.config

<location path="MyService.asmx"> 
    <system.web> 
     <authorization> 
     <deny users="?" /> 
     </authorization> 
    </system.web> 
    </location>