Стратегии для обеспечения службы WCF, возвращающие данные Json, запрошенные jQuery

Question

Мне нелегко разобраться с этим, и Google просто не помогает.

Я ищу преобразование некоторого устаревшего кода для использования следующих технологий: ASP.NET, WCF, jQuery.

Преобразование ASP.NET не является проблемой и не имеет доступа к службе WCF для данных на стороне сервера.

Однако у меня есть проблема с возможностью потенциально защитить службу, чтобы я мог вернуть данные в формате JSON, запрошенные с помощью jQuery на стороне клиента, но заблокировать его, чтобы предотвратить внешний доступ.

Для этой конкретной реализации это не так уж и важно, так как функциональность ... квази-Ajax-подобных существует довольно долгое время, и там не было злоупотреблений.

Но, как только этот проект будет завершен, я хотел бы взять то, что я узнал, и преобразовать другую форму, которая часто подвергается злоупотреблениям, и допускать отображение слайка.

Если я хочу делать клиентские вызовы на веб-службу, я застрял, открыв доступ к моему веб-сервису для анонимного доступа?

Не удалось защитить веб-интерфейс до определенного подмножества пользователей (я не вижу проблемы с обеспечением добавленной функциональности для зарегистрированных пользователей), существуют ли какие-либо другие стратегии по обеспечению безопасности веб-службы в этом сценарии? Я просто не замечаю ничего очевидного?

Answer 1

Требовать аутентифицированный сеанс как для серверной страницы, так и для ее вызывающего абонента через ajax, причем оба позади HTTPS.

Другая стратегия заключается в использовании токена, привязанного к сеансу во время загрузки последней страницы, для подтверждения того, что сам сеанс не был взломан. Это делается, когда клиент загружает страницу. Сервер отслеживает, какой должен быть следующий токен, чтобы подтвердить действительный запрос.