Ваши веб-методы будут иметь такую же безопасность, как и ваши веб-страницы. Если вам необходимо обеспечить безопасный доступ к ним, проверьте допустимый сеанс, аутентифицированного пользователя и т. Д., Прежде чем разрешить действие. Запрос к веб-методу должен включать различные файлы cookie, необходимые для определения того, прошел ли аутентификация пользователь, выполняющий запрос. На основании личности аутентифицированного пользователя, его ролей и т. Д. Вы можете определить, следует ли обрабатывать запрос. Если вы используете веб-конфигурацию для защиты своих страниц, защита, применяемая к странице, должна также применяться к веб-методам на странице.
Обратите внимание, что вы не можете гарантировать, что кто-то не будет просто отправлять запрос независимо от браузера (то есть, что запрос всегда находится внутри пользовательского интерфейса вашего приложения). Вам необходимо выполнить те же проверки безопасности, что и для любой из ваших страниц.
Обратите внимание, что здесь речь идет о защите веб-методов, добавленных на страницу ASPX. Для веб-сервисов аутентификация и авторизация могут обрабатываться совершенно по-разному. Например, учетные данные могут требоваться при каждом запросе и могут быть частью «конверта» или параметра самого метода. Защита веб-сервисов, вероятно, является предметом отдельного вопроса.