网络安全方法

Question

我在webmethods中使用JQuery AJAX。由于常规会话身份验证在webmethod中不起作用，所以保护webmethods的可能方法是什么，这样用户就不会从客户端调试工具复制该url并使用它。

Answer 1

您可以在webmethods中使用会话。只需将(true)添加到WebMethod属性中即可。

[WebMethod(true)]
public string MyMethod

如果您使用的是一些内置身份验证，也可以使用：

[Authorize(Roles = "RoleName")]

Answer 2

如果您的WebMethod与应用程序的其他部分不在同一个框上，您还可以作为调用中的参数之一传递某种盐渍和散列时间戳或其他信息。

然后，webmethod内部的逻辑可以解码哈希，并将其与当前登录的用户和if的列表相匹配，并/或读取过期日期，这样，如果在其他地方复制和调用url，则该url将是无用的。

但是，如果WebMethods都是同一个应用程序的一部分，那么只依赖于会话将是最好的选择。