Передача личных данных через метод WCF OperationContract?

Question

Предположим, у меня в реализации WCF-сервиса есть метод Login, и он определен следующим образом:

[OperationContract]
[WebGet(UriTemplate="login/{username}/{password}")]
bool Login(string username, string password);

Очевидно, что передача чего-то вроде http://localhost:80/login/user1/pass1 не очень безопасна, так как это обычно обрабатывается в сценарии отдыха wcf?

Answer 1

Другой вариант - сделать шифрование на стороне клиента, где пользователь и пароль шифруются с помощью javascript, преобразуются в base64, а затем называются так, как вы показали в своем коде.

Это, очевидно, менее безопасно, потому что если злоумышленник знает, как вы выполняете шифрование (изучая код javascript), он может сломать ваше шифрование. Но это, в сочетании с SSL, может оказаться для вас жизнеспособным решением в зависимости от чувствительности вашего сайта.

Answer 2

Один из вариантов - запускать весь ваш сайт как SSL.

Другое, что вы упомянули, - это отправка имени пользователя и пароля в POST.

Есть ли требование, которое заставляет вас делать это в JS?