JSON-RPC 2.0 определяет стандартный формат запроса и ответа и представляет собой глоток свежего воздуха после работы с API REST.
Один из самых легких путей состоит в том, чтобы передать учетные данные в заголовке мыла сообщения. Таким образом, каждый вызов проводит информацию, должен был определить, авторизовывается ли пользователь. WSE делает часть из этого легче, но одно из большинства сжатых описаний этого процесса может быть найдено в книге Rocky Lhotka по Бизнес-объектам. Я заставляю много книг рассматривать издателями, и у этого было лучшее объяснение
Если это - только внутренний сервер, который будет получать доступ к asmx файлам? Вы могли настроить их в IIS под отдельным веб-сайтом или виртуальным каталогом, затем установить некоторые ограничения IP для сайта. В свойствах пойдите под Безопасностью каталога, затем "IP-адрес и Ограничения Доменного имени".
Кроме того, для паролей WSE 3 является новым дежурным, но я действительно находил простой метод в книге от Apress названным "Pro ASP.NET 2.0 в" Главе 34 2005 года C#. (Отметьте, более новая версия этой книги опускает эту главу.) Раздел является пользовательской Основанной на билете аутентификацией.
Я установил бы правило брандмауэра для ограничения доступа к белому списку IP-адресов.
Возможно, я не понял правильно, но почему выставляют веб-методы публично вообще, если они только собираются быть использованными внутренним сервером?
Используйте ограничения IP-адреса безопасности каталога IIS и ограничьте доступ только к что внутренний IP-адрес веб-сервера.
Если Вы не можете сделать этого затем, и Вы не можете установить имя пользователя/пароль на каталоге, затем использовать WSE и добавить имя пользователя/пароль на службу или посмотреть на сертификаты, если Вы хотите некоторую забавную усмешку
Принятие Вас не имеет опции использования WCF, я рекомендовал бы использовать WSE 3 (Улучшения веб-сервиса). Можно получить инструментарий / штучка SDK на сайте MS
Для ограничения доступа только к внутренним машинам (поскольку я думаю вопрос, который задают) я запустил отдельный веб-сайт в IIS и установил его, чтобы только ответить на внутренний IP-адрес сервера.
Будет работать простой HTTP-модуль. Просто hardcode (или от конфигурации) позволенный IP/хост и отклонение все другие.
TLS с клиентскими сертификатами Видит статью в Википедии для начала работы.
Знайте, что существуют пути вокруг белого списка дюйм/с. Не понимайте меня превратно, это - прекрасная идея, и необходимо определенно сделать это, но если бюджет/ресурсы позволяет его, можно развернуть модель угрозы.
В этот момент, что прибывает, по моему мнению фильтрация IP на IIS. Быстро для применения, должен работать в сценарии.