【发布时间】:2015-09-16 14:44:43
【问题描述】:
我有一个我写的 asp.net 应用程序,它有很多 Web API 控制器。
目前,当用户登录我的应用程序时,它使用会话,并且用户帐户通过我自己的存储用户名和密码(哈希)等的 SQL 表进行身份验证...
如果用户知道或查看 js 源/或提琴手,他们可以看到 Web API 调用并获取他们可能在应用程序外部调用的控制器的 URL。
我想以某种方式保护它,这样它就不允许他们在应用程序之外访问它,或者更好地检查用户是否被允许执行请求。
最好的方法是什么?
谢谢
【问题讨论】:
-
“它使用会话”是什么意思?你在做某种手工认证吗?
标签: c# asp.net asp.net-web-api