我正在维护一个公共网站(无需授权),它使用基于https的Web服务来执行各种操作。大多数对Web服务的调用都是从javascript调用的。保证Web服务安全性最小的方式?
最近我发现一个恶意黑客可能(如果他/她选择的话)直接调用web服务来试图破坏系统。
事实上,他们可以做的事情没有太大的损害,但实际上这些事情很难预测。
请记住,Web服务调用将暴露在JavaScript代码(客户端可用)中,我可以使用哪种最佳方法来防止未经授权和/或恶意访问Web服务。
不幸的是,我不能仅仅通过IP来限制访问,因为那里有基于窗体的客户端应用程序,它们也与Web服务交互。
使用Windows身份验证可能很困难,因为这些客户端应用程序可以在世界的任何地方运行,并且用户不属于任何特定的AD组,甚至不属于这个问题的域。
我会很感激任何建议,铭记两种不同的访问类别和JavaScript代码的暴露。
我将如何保护不同的版本? – 2009-02-03 16:03:37