Вызов веб-сервиса из Javascript

Question

Каков наилучший способ добавить аутентификацию / безопасность при вызове Web-сервиса из javascript?
Я хочу, чтобы мои веб-сервисы вызывались только из моего приложения, никто другой не должен иметь доступ к моему веб-сервису путем копирования URL-адреса веб-сервиса в браузер.

Из первых нескольких ответов кажется, что почти невозможно.
Так что я должен ответить своему клиенту, так как он не знает, что слово невозможно?

~ Ajinkya.

Answer 1

Обратите внимание на использование шаблона токена синхронизатора, так что сервис может использоваться только с частью данных, известной странице, которая загружает ссылку на сервис.Пример такой работы с веб-сервисом в OWASP Top 10 для разработчиков .NET, часть 5: подделка межсайтовых запросов (CSRF) .Это должно достичь того, что вы хотите.

Answer 2

Это невозможно.Если вы разрешите клиенту получить доступ к вашему веб-сервису из JavaScript, клиент всегда сможет это сделать.Вы можете ограничить доступ, только используя какое-то ограничение, например токен, который необходимо отправить вместе с запросом для его аутентификации.Вы можете даже превратить его в одноразовый токен.Но это создаст новые проблемы (например, что произойдет, если ответ потеряется. Клиентский javascript не может повторно выполнить запрос).