从javascript调用Web服务时添加认证/安全性的最佳方式是什么?
我希望我的web服务只能从我的应用程序中调用,任何人都不应该通过将web服务URL复制到浏览器来访问我的web服务。从Javascript调用Web服务
从前几个答案看来,它似乎是不可能的。
那么我应该回复我的客户,因为他不知道这个词不可能?
〜Ajinkya。
从javascript调用Web服务时添加认证/安全性的最佳方式是什么?
我希望我的web服务只能从我的应用程序中调用,任何人都不应该通过将web服务URL复制到浏览器来访问我的web服务。从Javascript调用Web服务
从前几个答案看来,它似乎是不可能的。
那么我应该回复我的客户,因为他不知道这个词不可能?
〜Ajinkya。
查看使用同步器令牌模式,以便服务只能通过加载服务引用的页面已知的一段数据来使用。在OWASP Top 10 for .NET developers part 5: Cross-Site Request Forgery (CSRF)中有一个使用Web服务执行此操作的示例。这应该达到你以后的目标。
听起来不错。将检查并让你知道。 – xyz
这是不可能的。如果您允许客户端通过JavaScript访问您的Web服务,客户端将始终可以做到这一点。您只能通过使用某种约束来减少访问,例如需要与请求一起发送的令牌,以便对其进行验证。你甚至可以把它变成一次性的标记。但是这会产生新的问题(例如,如果答案丢失会发生什么情况,客户端javascript无法重新运行查询)。
盐,令牌,密码?你能解释更多关于你如何访问'服务'的信息吗? – Calum
@Calumn:我正在使用我的Web服务进行YUI自动完成。我只是将我的Web服务URL提供给YUI自动完成。 – xyz