Я только что прочитал несколько сообщений о скрытии кода Silverlight в некотором роде. Основной вывод заключался в том, что вы можете запутать его, но вы не можете скрыть его, поэтому на сервере должны быть обеспечены безопасные вещи. Но тогда каждый может видеть через Fiddler, какие данные отправляются на конкретный веб-сервис. Например, они могут видеть, что я вызываю UpdateCustomer.asmx. И если они это сделают, что я могу сделать, чтобы остановить их от вызова этого asmx? Есть ли способ разрешить только «мое приложение silverlight» вызвать этот метод?Как защитить мои методы сервера
ответ
Я полагаю, что если вы хотите быть действительно параноик, вы могли бы мобилизовывать все вызовы из клиентского приложения через один веб-службы конечной точки и шифрования полезной информации ... что-то вроде:
- Клиентское приложение попадает конечная точка «givemeatoken .asmx»
- Сервер генерирует некоторый ключ маркера
- Клиент шифрует все вызовы с использованием указанных маркеров, передавая их в одной конечную точку„onlyservice.asmx“
- Сервер расшифровывает полезную нагрузку вызовов с использованием маркеров, и маршрутизировать вызовы к„реальному“ веб-сервисы.
- Сервер извлекает результаты вызова, повторно шифрует с использованием токена и передает обратно клиенту
- Клиент расшифровывает результаты и делает то, что ему нужно.
Но это просто сумасшедшие разговоры ... и вроде бессмысленные, так как вы могли бы перепроектировать сам код Silverlight, чтобы выяснить, что такое «настоящие» сервисы. Если вы действительно хотите защитить свое приложение, используйте аутентификацию; как на стороне клиента, так и на стороне сервера (то есть, вызовы услуг требуют какого-либо запроса на аутентификацию)
Nope. Кто-то всегда может перепроектировать ваше приложение Silverlight, чтобы украсть все учетные данные, которые вы используете. Вы можете сделать этот процесс обратной инженерии более утомительным, чем в противном случае, но вы не можете сделать это невозможным.
Почему это проблема, если кто-то обращается к вашему URL с пользовательского клиента? Вы подтверждаете подлинность пользователя , правильно?
Нет, в этом случае пользователь не аутентифицирован. – Michel
- 1. как защитить методы dll
- 2. Как защитить методы композиции?
- 3. Как защитить мои ресурсы EXE?
- 4. Как защитить мои вызовы GET JsonResult?
- 5. как защитить мои файлы в APK?
- 6. Как защитить мои программы WinCE и WinMobile?
- 7. Как защитить мои введенные элементы CSS?
- 8. Как реорганизовать мои php-методы?
- 9. Как защитить методы HTTPGET в MVC5
- 10. Как защитить методы ajax, вызванные через jquery?
- 11. Как я могу проверить мои методы метеоров?
- 12. Как защитить мои веб-методы asmx только для вызова моего веб-приложения asp.net?
- 13. Как защитить секретный ключ сервера в браузере?
- 14. Как защитить файл cookie CAS-сервера TGT?
- 15. Как защитить ключ шифрования от администратора сервера?
- 16. Как защитить каталог загрузки изображений веб-сервера?
- 17. Как защитить основные методы, такие как создание пользователей в API
- 18. Карты и мои собственные методы
- 19. Мои методы не очень DRY
- 20. Как исправить мои сообщения и методы удаления
- 21. Как добавить мои методы в UITableviewDelegate
- 22. Почему мои конструкторы распознаются как методы?
- 23. Как побить мои неправильные методы CodeIgniter
- 24. Как заставить мои методы работать вместе
- 25. Мои вспомогательные методы в контроллере
- 26. Как защитить мои вызовы jQuery AJAX в PHP и Javascript?
- 27. Как защитить мои учетные данные во время вызова ajax?
- 28. Как защитить мое веб-приложение с помощью сервера идентификации wso2?
- 29. Как защитить данные моего сервера JSON в angularJS?
- 30. Защитить URL-адрес сервера в мобильном приложении
Спасибо, я реализую механизм аутентификации. – Michel