CORS/JSONP с проблемами безопасности WebAPI

Question

CORS/JSONP с проблемами безопасности WebAPI

Мне интересно, есть ли кто-нибудь с упрощенным разрешением для моего сценария, у меня сейчас нет идей.

У меня есть сервис WebAPI, который я хочу разместить в другом домене, чем мой сайт, который его называет. Эта служба была защищена, поэтому требуется базовая аутентификация.

Я хочу вызвать его из jQuery, в котором вы не можете отправить запрос "jsonp", потому что вы не можете установить заголовок запроса, и я не могу использовать json, так как мне пришлось бы использовать CORS, в котором нет Поддерживается IE6/7, так что это тоже нежизнеспособно.

Есть ли у меня другие варианты, чтобы мой сценарий работал?

2

asp.net asp.net-web-api wcf-security wcf-web-api

Источник

user664822 04 сен '12 в 14:38

1 ответ

Решение

Другие вопросы по тегам asp.net asp.net-web-api wcf-security wcf-web-api

user304683 04 сен '12 в 15:22 2012-09-04 15:22 · Accepted Answer · 2012-09-04 15:22

Если бы вы создавали заголовки аутентификации в Javascript, это сделало бы спор о вашей аутентификации / безопасности (сторона клиента = учетные данные видимы для любого клиента).

Вы также можете отправить базовые учетные данные для аутентификации в URL (вместо заголовков): http://user:pass@my_domain.com/ (не то, что вы должны).

Вы можете создать / вызвать "прокси" на стороне сервера в вызывающем приложении, которое фактически выполняет http request - у вас есть полный контроль над любыми заголовками, которые вам нужны.

Поскольку вы применяете обычную аутентификацию в виде простого текста, надеюсь, вы также используете SSL. Ваши учетные данные не видны клиенту (вызов на стороне сервера).

Тогда вызов будет "локальным" для вашего Javascript/jQuery.

Вопрос: это в значительной степени делает аутентификации спорные (тоже), если не фильтровать / запросы на прокси-сервер проверки.

Hth....