保护WCF服务的策略，返回由jQuery请求的Json数据

Question

我很难让我的头脑解决这个问题，而Google只是没有帮助。

我正在寻找转换一些遗留代码使用以下技术：ASP.NET，WCF，jQuery。

的ASP.NET转换不是问题，也不是访问WCF服务的数据，在服务器端。

但是，我遇到问题可能会保护服务，以便我可以返回JSON格式的数据，通过客户端上的jQuery请求，但锁定它以防止外部访问。

对于这个特定的实现，它不是什么大不了的事，因为...准类似Ajax的功能已经到位了好一阵子，并没有发生过虐待。

但是，一旦这个项目完成后，我想利用我学到的东西和转换另一种形式，这是经常被滥用，并允许有雨衣显示。

如果我想要做的客户端调用Web服务，我，我坚持让我的Web服务开放给匿名访问？

短确保Web界面到用户的特定子集（我看到固定的附加功能来登录的用户没有问题），还有在这种情况下保护Web服务的任何其他策略？我只是忽略了一些明显的东西？

Answer 1

要求经过ajax的服务器端页面及其调用者的身份验证会话，都需要使用HTTPS。

另一种策略是使用的最后一页加载过程中绑定到会话，以确认该会议本身一直没有高劫持的令牌。这是在客户端加载页面时完成的。服务器跟踪下一个令牌必须是什么才能确认有效的请求。