Question

У меня есть файловый сервер WCF REST, который проверяет пользователей, принимая два дополнительных параметра, имя пользователя и пароль, с каждым запросом.Например, System.IO.Stream Download(string username, string password, int fileid)

Я хотел использовать GET для всех методов, но я не могу этого сделать, поскольку не хочу, чтобы имя пользователя и пароль отображались в адресной строке.Вместо этого я использую POST, который не является пуленепробиваемым, но все же лучшим выбором, чем GET в этом случае.

Существуют ли другие более эффективные подходы к валидации пользователя, кроме базовой аутентификации HTTP?Желательно что-то, что позволило бы мне использовать GET без необходимости включать имена пользователей и пароли в URL.

Erik Philips · Answer 1 · 12 сентября 2011

Попытка скрыть имя пользователя и пароль путем изменения метода Http с GET на POST практически не имеет дополнительной безопасности.Даже очень неопытные люди могут использовать практически любую программу, чтобы увидеть, какие данные отправляются на сервер.

Теперь, помимо очевидной проблемы с паролем имени пользователя, вы можете использовать HTTP-заголовки вместо параметров QueryString для передачи значений обратноСлужба WCF (RESTful).Это позволит вам использовать метод GET и по-прежнему передавать имя пользователя и пароль без этих конкретных значений, существующих в URL-адресе, но, опять же, это практически не повышает безопасность.

Подходы аутентификации для WCF REST

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Подходы аутентификации для WCF REST

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов