Я поддерживаю общедоступный веб-сайт (авторизация не требуется), который использует веб-службы через https для выполнения различных операций. Большинство вызовов веб-сервисов вызываются из JavaScript.
В последнее время мне пришло в голову, что злоумышленник может, если он / она решит, напрямую вызвать веб-сервисы, пытаясь нанести ущерб системе.
На самом деле, они могут нанести не так много вреда, но на практике эти вещи трудно предсказать.
Принимая во внимание, что вызовы веб-службы будут отображаться в коде javascript (который доступен для клиента), какой наилучший подход я мог бы использовать для предотвращения несанкционированного и / или злонамеренного доступа к веб-службам.
К сожалению, я не могу просто ограничить доступ по IP, поскольку существуют клиентские приложения на основе форм Windows, которые также взаимодействуют с веб-сервисами.
Использование проверки подлинности Windows может быть затруднено, так как эти клиентские приложения могут запускаться из любой точки мира, и пользователи не являются частью какой-либо конкретной группы AD - или даже домена в этом отношении.
Буду признателен за любые предложения, принимая во внимание два разных класса доступа и разоблачение кода JavaScript.