세션 보안 및 ASP.NET Ajax

Question

ASP.NET Ajax를 사용하기 시작합니다. Eric Pascarello's 권장 사항을 따르고 난 항상 클라이언트 측에서 (가짜 요청을 포함하여) 어떤 것도 올 수 있다는 가정하에 작동합니다.

나는 사용자 계정 인증에 어려움을 겪고 있습니다. 우리는 .NET의 내장 세션 상태 관리 메커니즘을 사용하기 때문에 웹 서비스에 어떤 보안 위험이 존재하는지 무지합니다.

사용자가 자신이 말하는 사람이 (합리적으로 충분한 확률로) 확신 할 수 있도록하려면 어떻게해야합니까? 사용 중입니까

[WebMethod(EnableSession = true)] 

으로 충분합니까?

감사

Answer 1

즉, 당신이 세션 개체가 당신의 방법을 사용할 수 있는지 확인 방법입니다. 그들이 인증되었는지 확인하려면 web.config에 구성하십시오.

<location path="MyService.asmx"> 
    <system.web> 
     <authorization> 
     <deny users="?" /> 
     </authorization> 
    </system.web> 
    </location>