Правильно ли обрабатывает функция аутентификации ASP.NET в jQuery $ .ajax ()?

Question

У меня есть веб-приложение, защищенное аутентификацией ASP.NET Forms. Сайт использует функцию $ .ajax () jQuery для вызова веб-службы в том же приложении.

Просмотр веб-службы .asmx вызывает срабатывание проверки подлинности с помощью форм, и после проверки подлинности и выполнения вызова $ .ajax () к серверу я также вижу файл cookie сеанса ASP.NET и отправляет обратно файл cookie проверки подлинности форм сервер в фиддлере.

Итак ... хотя все выглядит хорошо, я бы хотел успокоиться, что веб-служба действительно будет защищена проверкой подлинности на основе форм ASP.NET при вызове с любой из страниц веб-приложения с использованием $ .ajax ().

Answer 1

С точки зрения сервера, ajax-запрос не очень отличается от обычного запроса GET / POST - только несколько дополнительных заголовков добавляются в запрос. Он проходит через вашу обычную процедуру аутентификации, так же, как и любой другой запрос - если это не так, вам следует гораздо больше беспокоиться об общей безопасности вашего приложения, поскольку запросы могут быть очень легко подделаны людьми, которые знают, что они делают .

Вы можете легко настроить тест, чтобы увидеть, успешно ли ресурс, требующий аутентификации, блокирует неавторизованные запросы, поступающие в Ajax. Это должно успокоить ваш разум.

Answer 2

Он будет защищен, но следите за тем, что произойдет, когда истечет срок вашей авторизации, а авторизация форм перенаправит обратно на URL-адрес входа с 302 НАЙДЕННЫМ ответом.

Answer 3

Пока вы проверяете на сервере, что пользователь аутентифицирован, тогда да, вы должны быть защищены. Я использую $ ajax для вызова как PageMethods, так и для вызова службы ASP.Net WCF, и все выглядит хорошо.