我有一个 WCF Web 服务,它公开获取 X 信息的函数。该服务以 JSON 格式返回信息。如果我想保护此 Web 服务,我需要做什么?不使用默认的 IIS 安全性,我想使用自定义登录(使用数据库验证)。
我想显示 X 信息的客户端应用程序进行 JQUERY 和 AJAX 调用。首先,我有一个登录页面,我可以在其中输入用户名和密码(以 MD5 加密)。客户端使用这些信息调用服务,如果用户有效(postgresql 数据库上的简单选择)或 false,服务返回 YES。目前,我启动了一个 FormsAuthentication 对象并将其添加到 cookie 中。
Private Function SetAuthCookie(name As String, rememberMe As Boolean, userData As String) As Integer
' In order to pickup the settings from config, we create a default cookie and use its values to create a new one.
Dim cookie As HttpCookie = FormsAuthentication.GetAuthCookie(name, rememberMe)
Dim ticket As FormsAuthenticationTicket = FormsAuthentication.Decrypt(cookie.Value)
Dim newTicket As New FormsAuthenticationTicket(ticket.Version, ticket.Name, ticket.IssueDate, ticket.Expiration, ticket.IsPersistent, userData, ticket.CookiePath)
Dim encTicket As String = FormsAuthentication.Encrypt(newTicket)
' Use existing cookie. Could create new one but would have to copy settings over...
cookie.Value = encTicket
HttpContext.Current.Response.Cookies.Add(cookie)
Return encTicket.Length
End Function
其次,我看到当我从客户端代码调用时,每个调用都会传递 .ASPXAUTH cookie。但是,我需要在服务器端做些什么来验证这是一个好用户而不是“被盗”的 cookie ASPXAUTH 代码?我不认为这个小的 isValidUser 函数足以验证调用。
Private Function isValidUser() As Boolean
Dim cookie As HttpCookie = HttpContext.Current.Request.Cookies(FormsAuthentication.FormsCookieName)
If cookie Is Nothing Then Return False
Dim decrypted = FormsAuthentication.Decrypt(cookie.Value)
If String.IsNullOrEmpty(decrypted.UserData) Then Return False
Return True
End Function
此致,