セッションセキュリティとASP.NET Ajax

Question

ASP.NET Ajaxを使用し始めています。 Eric Pascarello'sの推奨に続いて、私は常に、クライアント側から何かが来ることができるという仮定のもとで動作します（偽の要求を含む）。

私が苦労しているのは、ユーザー認証です。 .NETの組み込みのセッション状態管理メカニズムを使用しているので、私はWebサービスにどのようなセキュリティリスクが存在するかについて少しは気にしていません。

ユーザーは、彼が（妥当な確率で）誰であると確信するためには、私は何をする必要がありますか？使用しています

[WebMethod(EnableSession = true)] 

十分ですか？

ありがとうございました

Answer 1

これはセッションオブジェクトがあなたのメソッドで利用可能であることを確認する方法です。認証されていることを確認したい場合は、web.configに設定してください。

<location path="MyService.asmx"> 
    <system.web> 
     <authorization> 
     <deny users="?" /> 
     </authorization> 
    </system.web> 
    </location>