保護WCF服務的策略，返回由jQuery請求的Json數據

Question

我很難讓我的頭腦解決這個問題，而Google只是沒有幫助。

我正在尋找轉換一些遺留代碼使用以下技術：ASP.NET，WCF，jQuery。

的ASP.NET轉換不是問題，也不是訪問WCF服務的數據，在服務器端。

但是，我遇到問題可能會保護服務，以便我可以返回JSON格式的數據，通過客戶端上的jQuery請求，但鎖定它以防止外部訪問。

對於這個特定的實現，它不是什麼大不了的事，因爲...準類似Ajax的功能已經到位了好一陣子，並沒有發生過虐待。

但是，一旦這個項目完成後，我想利用我學到的東西和轉換另一種形式，這是經常被濫用，並允許有雨衣顯示。

如果我想要做的客戶端調用Web服務，我，我堅持讓我的Web服務開放給匿名訪問？

短確保Web界面到用戶的特定子集（我看到固定的附加功能來登錄的用戶沒有問題），還有在這種情況下保護Web服務的任何其他策略？我只是忽略了一些明顯的東西？

Answer 1

要求經過ajax的服務器端頁面及其調用者的身份驗證會話，都需要使用HTTPS。

另一種策略是使用的最後一頁加載過程中綁定到會話，以確認該會議本身一直沒有高劫持的令牌。這是在客戶端加載頁面時完成的。服務器跟蹤下一個令牌必須是什麼才能確認有效的請求。