jQuery에서 요청한 Json 데이터를 반환하는 WCF 서비스 보안 전략

Question

저는이 문제에 대해 제 머리를 맞추기 힘듭니다. Google은 도움이되지 않습니다.

ASP.NET, WCF, jQuery와 같은 기술을 사용하기 위해 일부 기존 코드를 변환하려고합니다.

ASP.NET 변환은 서버 측에서 데이터에 대한 WCF 서비스에 액세스하거나 액세스하는 데 문제가되지 않습니다.

그러나 문제는 잠재적으로 클라이언트 측에서 jQuery를 통해 요청 된 JSON 형식의 데이터를 반환 할 수 있도록 서비스를 보안 할 수 있지만 외부 액세스를 방지하기 위해 잠글 수 있습니다.

이 특정 구현에서는 quasi-Ajax와 유사한 기능이 오랫동안 존재 해 왔기 때문에 큰 문제는 아니며 남용도 없습니다.

하지만 일단이 프로젝트가 완료되면 내가 배운 것을 받아 들여 종종 남용되는 다른 양식을 변환하고 더 매끄러운 디스플레이를 허용하고 싶습니다.

웹 서비스에 대한 클라이언트 측 호출을 수행하려는 경우 익명 액세스를 위해 웹 서비스를 열어 놓았습니까?

특정 사용자의 하위 집합에 웹 인터페이스를 보안 설정하는 것 (로그인 한 사용자에게 추가 된 기능의 보안을 유지하는 데 문제가 없음)이 시나리오에서 웹 서비스 보안에 대한 다른 전략이 있습니까? 나는 명백한 것을 간과하고 있는가?

Answer 1

ajax를 통해 서버 쪽 페이지와 호출자 모두에 대해 인증 된 세션이 필요합니다 (HTTPS 뒤에서).

또 다른 전략은 마지막 페이지로드 중에 세션에 바인드 된 토큰을 사용하여 세션 자체가 고집적이지 않은지 확인하는 것입니다. 이는 클라이언트가 페이지를로드 할 때 수행됩니다. 서버는 유효한 요청을 확인하기 위해 다음 토큰이 무엇인지 추적합니다.