如何在ajax wcf服务中使用防伪令牌
本文关键字:令牌 服务 ajax wcf | 更新日期: 2023-09-27 18:25:42
我有一个ASPMVC网站,它通过ajax在JSON编码中使用wcf服务。是否有任何内置的方法可以将防伪令牌与ajax一起使用<-->wcf服务?
以下是它在asp-mvc应用程序中的使用方法。http://weblogs.asp.net/dixin/archive/2010/05/22/anti-forgery-request-recipes-for-asp-net-mvc-and-ajax.aspx
防伪造令牌我相信你知道在MVC框架中默认情况下是可用的,你正在使用Ajax到WCF,这与MVC没有任何关系,除了概念你的概述。
要通过MVC视图向WCF服务提供安全Ajax调用,还需要走很长的路。
首先,您需要使用Ajax反伪造令牌实现,请参阅下面的链接。您还需要一个数据库来管理具有到期日期的WCF令牌。
您需要在加载时转储WCF令牌,并在每个WCF请求时传递该令牌。令牌将根据数据库进行验证。如果令牌已过期,则需要使用Ajax Anti-Forgery令牌执行另一个Ajax请求以生成新的WCF令牌。返回令牌并在WCF Ajax请求中使用该令牌。
最后,您将有两个令牌,一个用于验证对MVC控制器的Ajax请求,另一个用于WCF请求。这种方法将为您提供一个安全的请求模型,以减少CSRF的机会。
关于CSRF的更多信息:http://www.troyhunt.com/2010/11/owasp-top-10-for-net-developers-part-5.html
MVC Ajax anit伪造令牌:http://blog.stevensanderson.com/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/
希望这能有所帮助。