Есть много вещей, которые вы можете сделать, чтобы защитить ваши службы WCF. Вероятно, самым простым способом является то, что ваши службы уже являются частью существующего общего приложения ASP.NET, чтобы включить режим совместимости ASP.NET для ваших служб. Если ваше приложение ASP.NET использует аутентификацию для проверки пользователей (например, проверка подлинности форм), и вы разрешаете это с помощью cookie сеанса, тогда режим совместимости ASP.NET делает большинство из этого для вас.
По умолчанию эта функция отключена, но вы можете включить его с помощью дополнения к вашему web.config:
<system.serviceModel>
...
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" />
...
</system.serviceModel>
Это позволит включить режим совместимости для всех служб в вашем приложении. Вы также можете включить это на услугу по сервисной базе, установив значение web.config, а также с помощью атрибута AspNetCompatibilityRequirements от класса обслуживания не интерфейс):
[AspNetCompatibilityRequirements(RequirementsMode = AspNetCompatibilityRequirementsMode.Required)]
public class FooService: IFooService {
}
При включении этого параметра, вы имеете доступ к HttpContext.Current (например, страница ASP.NET), а также будет гарантировать, что пользователь должен пройти аутентификацию перед доступом к файлу .svc (так же, как вы должны пройти аутентификацию перед доступом к любому .aspx-файлу). Если вы попытаетесь получить доступ к файлу .svc без проверки подлинности и используете проверку подлинности форм, вызывающий будет перенаправлен на страницу входа по умолчанию и после успешной проверки подлинности будет перенаправлен в файл .svc.
Это предложение делает несколько предположений:
- ваши услуги в приложении ASP.NET;
- вы используете некоторую аутентификацию ASP.NET (например, проверку подлинности форм) для проверки учетных данных пользователей и сохранения билета проверки в файле cookie;
Данное предложение, возможно, не самое безопасное или надежное, возможно, является самым простым, по крайней мере, для запуска и запуска вашего сайта в разумной степени.
Хороший MSDN library intro article в режиме совместимости ASP.NET.
Если это сработает, возможно, следующим шагом будет изучение чего-то типа аутентификации HMAC (что требует немного большей работы и координации секретных ключей, но это определенно более безопасно ИМХО). Вот хороший прогон его реализации - http://blogs.microsoft.co.il/blogs/itai/archive/2009/02/22/how-to-implement-hmac-authentication-on-a-restful-wcf-service.aspx
Надеюсь, это поможет. Удачи!!
Вы пытаетесь аутентифицировать пользователя из своего JavaScript? Итак, если пользователь не прошел аутентификацию, то вызов службы даже не будет сделан? Извините, если я повторяю ваш вопрос, но я хотел убедиться, что я понимаю ваше требование. Благодаря! –
wcf службы ajax не имеют каких-либо функций безопасности, таких как проверка подлинности Windows, аутентификация имени пользователя и пароля, сертификаты x509 и т. Д., Мы должны защищать данные на уровне транспорта с помощью SSL, но я хочу защитить мой wcf-вызов ajax в защищенном режиме. не хотите, чтобы хакеры или спуфинг или tempring мои веб-методы с помощью javascript. Я не знаю, как это сделать. – lourdhu
Добавлен ответ/предложение ниже. Не уверен, что это то, что вы ищете, но дайте мне знать, и я могу обновить соответствующим образом. –