请教一下ajax访问asp.net的webservice安全问题
我现在在开发web应用的时候,遇到一个问题。我是使用asp.net不是MVC框架开发应用,其中大部分地方通过用ajax访问webservice来处理和获取数据。现在遇到的...
我现在在开发web应用的时候,遇到一个问题。我是使用asp.net不是MVC框架开发应用,其中大部分地方通过用ajax访问webservice来处理和获取数据。
现在遇到的问题是,我担心webservice的安全性,毕竟它能被直接调用。一开始考虑到方法的公用,我没有在webservice加用户权限验证,只是针对相应按钮做了显示、隐藏的权限控制。
请问大家有无什么方法能让ajax访问webservice更加安全? 展开
现在遇到的问题是,我担心webservice的安全性,毕竟它能被直接调用。一开始考虑到方法的公用,我没有在webservice加用户权限验证,只是针对相应按钮做了显示、隐藏的权限控制。
请问大家有无什么方法能让ajax访问webservice更加安全? 展开
3个回答
展开全部
1、外部不要传类似用户帐号密码等敏感信息!
2、对于存在于数据库的资料,直接读数据库,不要读AJAX请求传过来的数据,除非是更新后的新数据。
3、既不想做身份验证,又想使webservice更加安全,LZ,你这是既不想喂鸡又想鸡肥啊~
4、安全验证还是要做的!你可以在被AJAX调用端添加用户验证,类似于使用前,查询用户的身份是否合法(SESSION);
2、对于存在于数据库的资料,直接读数据库,不要读AJAX请求传过来的数据,除非是更新后的新数据。
3、既不想做身份验证,又想使webservice更加安全,LZ,你这是既不想喂鸡又想鸡肥啊~
4、安全验证还是要做的!你可以在被AJAX调用端添加用户验证,类似于使用前,查询用户的身份是否合法(SESSION);
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
我觉得有三种方法:
一、给webservice加证书,可考虑使用第三方CA,但估计没戏,因为这需要花钱,你那个项目经理不会同意。
二、要不就将参数加密,然后再发给webservice做解密后返回值,这种方法可行。
三、ajax不要直接调用webs,先调一个c#程序,然后由该程序访问webs,这个方法也可行。
一、给webservice加证书,可考虑使用第三方CA,但估计没戏,因为这需要花钱,你那个项目经理不会同意。
二、要不就将参数加密,然后再发给webservice做解密后返回值,这种方法可行。
三、ajax不要直接调用webs,先调一个c#程序,然后由该程序访问webs,这个方法也可行。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
最简单的方法 双方约定 加个参数验证
例如APPCODE A12345
调用webservice的时候 只有 输入正确的APPCODE 才执行后面的代码
例如APPCODE A12345
调用webservice的时候 只有 输入正确的APPCODE 才执行后面的代码
追问
这样的话,应为ajax写在页面的html上面,别人很容看到其中请求的参数,这样的方式别人查看到调用webservice的appcode不就也是一样能模拟吗?
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
