WCFサービスの実装にLoginというメソッドがあり、次のように定義されているとします。
[OperationContract]
[WebGet(UriTemplate="login/{username}/{password}")]
bool Login(string username, string password);
明らかに、http:// localhost:80 / login / user1 / pass1のようなものを渡すことはあまり安全ではないので、wcfrestシナリオで通常どのように処理されますか?
もう1つのオプションは、クライアント側の暗号化を行うことです。ユーザーとパスワードはjavascriptを介して暗号化され、base64に変換され、コードで示した方法で呼び出されます。
これは明らかに安全性が低くなります。なぜなら、攻撃者が (JavaScript コードを調べて) 暗号化を行っている方法を知っている場合、暗号化を破ることができるからです。ただし、これを SSL と組み合わせると、サイトの機密性によっては実行可能なソリューションになる場合があります。
1 つのオプションは、サイト全体を SSL として実行することです。
あなたが言及したもう1つは、ユーザー名とパスワードをPOSTで送信することです。
JS でこれを行う必要がある要件はありますか?