Пользовательская безопасность Для обработчика ashx

Question

В моем веб-сервисе WCF у меня есть собственный обработчик ashx. Он разработан так, что человек может вызвать веб-службу и получить динамическую ссылку для загрузки файла.

Итак, сервер IIS, обслуживающий страницу для клиента, вызывает веб-службу. Это создает ссылку. Ссылка может быть передана клиентской машине (т. Е. Будет запущен веб-браузер), и их браузер может открыть ссылку. Ссылка будет на обработчик ashx, и результат будет таким, что файл будет загружен.

Для службы WCF во всех случаях используется проверка подлинности Windows, поскольку служба не является общедоступной, но я хочу разрешить анонимную аутентификацию для обработчика ashx, поскольку это можно было бы вызывать с любого числа клиентских компьютеров.

Любые идеи?

Спасибо.

Answer 1

Я бы рекомендовал переместить обработчик ashx и загрузку файлов в отдельный корень приложения, чтобы вы могли настроить его с помощью анонимного доступа. Развязка веб-службы из службы загрузки файлов также позволит двум серверам жить на разных серверах, что может привести к возникновению проблем с брандмауэром, которые могут возникнуть позже, если для доступа к сервису загрузки требуется внешний доступ, но вам необходимо сохранить конфиденциальность веб-службы.