我有一个需要从客户端调用的WCF服务(ajax调用).我想在ASPX页面上使用ScriptManager将ServiceReference添加到WCF服务(或)对WCF服务的JQuery ajax调用.我想拒绝匿名用户访问WCF服务.在从JavaScript调用服务方法之前,有没有办法进行用户身份验证?如何从客户端保护我的WCF服务调用?
您可以采取许多措施来保护您的WCF服务.可能最简单的方法是,如果您的服务已经是现有整体ASP.NET应用程序的一部分,那么为您的服务启用ASP.NET兼容模式.如果您的ASP.NET应用程序使用身份验证来验证用户(例如表单身份验证),并且您通过会话cookie启用它,那么ASP.NET兼容模式可以帮助您完成大部分工作.
默认情况下,这是禁用的,但您可以通过添加web.config来启用它:
... ...
这将为您的应用程序中的所有服务启用兼容模式.您还可以通过设置web.config值并使用服务类上的AspNetCompatibilityRequirements属性而不是接口来逐个服务地启用此服务:
[AspNetCompatibilityRequirements(RequirementsMode = AspNetCompatibilityRequirementsMode.Required)]
public class FooService: IFooService {
}
启用此设置后,您可以访问HttpContext.Current(如ASP.NET页面),并且还会强制在访问.svc文件之前必须对用户进行身份验证(就像在访问任何文件之前必须进行身份验证一样). aspx文件).如果您尝试在未经过身份验证的情况下访问.svc文件,并且您正在使用表单身份验证,则调用方将被重定向到默认登录页面,并且在成功进行身份验证后,将重定向到.svc文件.
这个建议做了一些假设:
您的服务是在ASP.NET应用程序中;
您正在使用某种类型的ASP.NET身份验证(如表单身份验证)来验证用户的凭据并在cookie中保留验证票证;
这个建议虽然可能不是最安全或最强大的,但可能是最简单的,至少可以在合理的程度上启动和运行并保护您的网站.
这是关于ASP.NET兼容模式的一篇很好的MSDN库介绍文章.
如果这样做,也许下一步是研究HMAC认证(这涉及更多的工作和秘密密钥的协调 - 但它肯定更安全恕我直言).以下是实施它的一个很好的步骤 - http://blogs.microsoft.co.il/blogs/itai/archive/2009/02/22/how-to-implement-hmac-authentication-on-a-restful- WCF的service.aspx
我希望这有帮助.祝好运!!
京公网安备 11010802040832号 | 京ICP备19059560号-6 