Сценарий
У меня есть веб-сайт HTML / javascript, который использует javascriptSOAPClient для связи с веб-службой ASP.NET 1.1 для чтения / записи в базу данных SQL. (http://www.codeproject.com/KB/ajax/JavaScriptSOAPClient.aspx). База данных содержит анонимную демографическую информацию - без имен, без кредитных карт, без адресов. По сути, данные собираются для целей интеллектуального анализа данных.
Сайт работает, но мы хотим обеспечить более безопасную связь между клиентом javascript / ajax и сервисом wbe как для этого, так и для будущих проектов. Работая в качестве подрядчиков в финансовой индустрии, в какой-то момент мы столкнемся с вопросом: можно ли взломать этот сайт? Если у нас нет решения, мы можем быть на слуху.
Я уже следую рекомендациям, таким как обмен данными с базой данных с помощью параметров команд и хранимых процедур). Однако в настоящее время любой желающий может просмотреть описание нашего веб-сервиса и выяснить, как использовать наши сервисы.
Вопросы
- С моим гибридным решением (т. Е. Не сквозным Microsoft), как мне пройти проверку подлинности клиентских запросов в веб-службе?
- Если я начну передавать имя пользователя / пароль или какой-либо другой идентифицируемый элемент в веб-службу в качестве аутентификации, должен ли я беспокоиться о том, как этот ключ генерируется / хранится на стороне клиента?