Как я должен защитить свои службы Read / JSON WCF для использования с приложением iOS / Android?
Мы находимся в процессе создания нового стека веб-приложений. Задняя функциональность будет в значительной степени обслуживания, но поскольку некоторые из этих услуг должны будут подвергаться публичному интернету, мне нужно будет их обеспечить. Я частично удался, заблокируя URL-адреса службы с помощью стандартного члена / модели поставщика ролей. Часть у меня возникла проблема с тем, что если бы мы когда-либо построили приложение IOS (или Android) на нашем стеке обслуживания, как бы мы пошли за обработку безопасности?
Я полностью открыт для предложений Отказ До сих пор я включил некоторую информацию ниже на настройке.
Веб-сайт ASP.NET с использованием членства / поставщика / ролей SQL / формы, работающие на подключении HTTPS. Только страницы по умолчанию / Login / Faq публично доступны. Все остальные страницы живут в папке, называемой «/ Secure», которая требует, чтобы вы были аутентифицированы.
WCF WebService. Все поддерживаемые функциональные возможности предоставляются через эту услугу. Конечные точки доступны только на локальной интрасети. Код веб-сайта ASP.NET за переговорами с обслуживанием, используя стандартную ссылку на обслуживание.
Услуги отдыха / JSON WCF. Некоторые из вышеуказанных функций перевернуты в службу отдыха / JSON WCF. Это было установлено с использованием шаблона отдыха « 40 . Служба затем направляется с использованием System.Web.ruting к «/ Secure / JsonsVC / *». Поскольку это под папкой / защищенной папкой, она наследует членство / ролевую безопасность для любого запроса. например XMLHTTP призывает к этой услуге от клиентской стороной JQuery Widget, будет работать только для пользователей, которые уже вошли в наш сайт.
В будущем эти же службы отдыха / JSON WCF могут потребоваться потреблять внешним приложением (например, приложение iPad). Что бы лучше подойти к этому, учитывая отсутствие сайта HTTP / сеанса / контекста входа в систему.