Я нахожусь в процессе создания простой веб-службы для нашего клиента, который хочет иметь возможность получать информацию о корзине покупок и добавлять / обновлять элементы в ней. Я написал CFC с удаленным методом для каждого. Теперь, очевидно, когда для этих методов CFC установлено значение access = "remote"
, весь мир может вызывать их как есть. Однако мне нужно включить безопасность, чтобы гарантировать, что единственные люди, которые могут вызывать эти методы удаленно (не с моего веб-сайта), - это те, кому я дал разрешение. И я не хочу, чтобы это было навязчиво (принудительный вход в систему и т. Д.).
Например, веб-службы существуют на http://www.mywebsite.com , и я хочу разрешить запросы только с http://www.yoursite1.com и http://www.yoursite2.com . Использование HTTP_REFER
бесполезно, поскольку его можно подделать. Как я могу это сделать? Можно ли использовать самозаверяющий сертификат, чтобы как-то проверить, разрешен ли запрос?
ПРИМЕЧАНИЕ. Я также хотел бы иметь возможность использовать эти веб-службы для вызовов с нашего собственного веб-сайта, поэтому мне понадобится решение, которое работает для обоих сценариев.