クラスに登録されている学生の「写真名簿」を表示する Web アプリケーションを継承しました。これらの画像はさまざまな規制によって保護されているため、名簿はクラスのインストラクターのみが利用できます。画像は SQL Server データベースにバイナリ データとして保存されます。
元の設計では、学生 ID の値に基づいて画像を返す Web ハンドラー ファイル (.ashx) を介して画像が提供されていました。名簿ページは、ユーザーが自分に適したコースを選択するように制限し、画像を保護しました。
一部の管理者は、URL を変更して Web ハンドラー ファイルを直接呼び出す方法を習得しています。これを防ぎたいのですが、代わりに、ビジネス ルールに基づいてアクセスを制限する別の保護されたページに管理者を送ります。
管理ページに埋め込まれたリクエストにのみ応答するように Web ハンドラー/Web サービスをロックダウンするには、どのようなオプションがありますか? ユーザーがハンドラーを直接呼び出せないようにするにはどうすればよいですか?