WCFサービスを確保するための戦略、jQueryからリクエストされたJsonデータを返す

Question

私はこの周りに頭を下げるのに苦労しており、Googleは役に立ちません。

私は、ASP.NET、WCF、jQueryのテクノロジを使用するためにいくつかのレガシーコードを変換しています。

サーバー側では、ASP.NET変換は問題ではなく、データのWCFサービスにもアクセスしません。

しかし、私が問題を抱えているのは、クライアント側でjQuery経由で要求されたJSON形式のデータを返すことができるようにサービスを保護できる可能性がありますが、外部アクセスを防ぐためにロックします。

この特定の実装では、準疑似Ajaxのような機能がかなりの間存在しており、悪用されていないため、それほど大きな問題ではありません。

しかし、このプロジェクトが完了したら、私は学んだことを服用し、悪用される可能性のある別のフォームを変換して、よりスッキリな表示を可能にしたいと考えています。

Webサービスへのクライアント側の呼び出しを行う場合、Webサービスを匿名アクセス用に開いた状態にしていますか？

Webインターフェイスを特定のユーザーのサブセットにセキュリティで保護することの短期間（ログインユーザーに追加機能をセキュリティで保護することは問題ありません）、このシナリオでWebサービスをセキュリティで保護するための他の戦略はありますか？明白な何かを見落としていますか？

Answer 1

HTTPSの背後にある両方で、ajax経由でサーバー側のページとその呼び出し元の両方に対して認証済みセッションが必要です。

もう1つの戦略は、最後のページのロード時にセッションにバインドされたトークンを使用して、セッション自体がハイジャックされていないことを確認することです。これは、クライアントがページをロードするときに実行されます。サーバーは、有効な要求を確認するために次のトークンが必要であるものを追跡します。