如何在ajax wcf服务中使用防伪令牌

本文关键字:令牌 服务 ajax wcf | 更新日期: 2023-09-27 18:25:42

我有一个ASPMVC网站,它通过ajax在JSON编码中使用wcf服务。是否有任何内置的方法可以将防伪令牌与ajax一起使用<-->wcf服务?

以下是它在asp-mvc应用程序中的使用方法。http://weblogs.asp.net/dixin/archive/2010/05/22/anti-forgery-request-recipes-for-asp-net-mvc-and-ajax.aspx

如何在ajax wcf服务中使用防伪令牌

防伪造令牌我相信你知道在MVC框架中默认情况下是可用的,你正在使用Ajax到WCF,这与MVC没有任何关系,除了概念你的概述。

要通过MVC视图向WCF服务提供安全Ajax调用,还需要走很长的路。

首先,您需要使用Ajax反伪造令牌实现,请参阅下面的链接。您还需要一个数据库来管理具有到期日期的WCF令牌。

您需要在加载时转储WCF令牌,并在每个WCF请求时传递该令牌。令牌将根据数据库进行验证。如果令牌已过期,则需要使用Ajax Anti-Forgery令牌执行另一个Ajax请求以生成新的WCF令牌。返回令牌并在WCF Ajax请求中使用该令牌。

最后,您将有两个令牌,一个用于验证对MVC控制器的Ajax请求,另一个用于WCF请求。这种方法将为您提供一个安全的请求模型,以减少CSRF的机会。

关于CSRF的更多信息:http://www.troyhunt.com/2010/11/owasp-top-10-for-net-developers-part-5.html

MVC Ajax anit伪造令牌:http://blog.stevensanderson.com/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/

希望这能有所帮助。