Блог

В моей службе WCF есть метод, который может удалить пользователя. Эта функциональность доступна ЧЕРЕЗ вызов JSON моего метода WCF. (ТО есть: Users/Delete/20 удалит пользователя 20.) Как я могу сделать так, чтобы у пользователя, вводящего Users / Delete / 20, не было доступа для удаления пользователя? Или кто-то подделывает запрос JSON. Я прочитал об атрибуте ValidateAntiForgeryToken, но, похоже, это мне не помогает. Я неправильно это использую?

Функция удаления пользователя, вероятно, была реализована, потому что определенным людям действительно разрешено удалять пользователя. Что нужно вашей службе, так это аутентификация (идентификация пользователя) и авторизация (проверка того, что только авторизованный пользователь может выполнять определенные методы).

Если у вас есть аутентификация и авторизация, вам не нужно беспокоиться о том, какой клиент получает доступ к вашей службе.

Я мог бы быть более конкретным, если вы предоставите больше информации. Кому разрешено удалять пользователей? Какой клиент они используют для этого? Кому запрещено удалять пользователей? Могут ли те, кому разрешено удалять пользователей, удалять любых пользователей? Или они могут удалять только определенных пользователей (например, тех, кто принадлежит к тому же отделу)?

(И, пожалуйста, сделайте ваш метод удаления методом, который может выполняться только как POST-запрос, а не как GET-запрос.)