使安全“;“私人场地区域”;使用准无服务器web架构(AJAX模板魔术)
Making secure "private site areas" using quasi-serverless web architecture (AJAX templating magic)
首先,如果我的英语听起来不太好,我会尽量说清楚。我计划开发一个具有以下架构的网站:
静态页面提供给使用javascript模板和ajax加载内容的客户端,内容将通过ASP.NET MVC应用程序提供,该应用程序将json结果发送到客户端页面。
我的问题很简单:我可以用什么方法为我的网站用户提供私人区域?
我想到的唯一一件事是提供一个登录页面,将登录信息(加密)发送到服务器(通过ajax)。然后服务器返回一个令牌以作为cookie存储。对于接下来通过ajax对服务器的每一次调用(现在谈到私人区域),都会发送并检查令牌shuold,并提供适当的内容结果。
我该如何实现这个东西?安全和隐私问题是什么?
顺便说一下,我在服务器中使用C#,JQuery用于简单的ajax管理,JQuery.LoadJSON用于内容加载。Mustache for javascript提供了一些东西,比如部分等等。我正在寻找一些可以让我以简单明了的方式管理cookie的东西,建议也很感激。
非常感谢!
您实际上可以使用内置的ASP.NET身份验证机制:
- 允许匿名访问您的所有页面(假设这是要求)
- 在java脚本(客户端)中维护一个变量,以判断用户是否已通过身份验证
- 为了访问任何安全内容/区域,请调用一个通用的js函数,该函数将查看当前用户是否经过身份验证,如果没有,则执行适当的操作来验证用户
- 如果是基于表单的身份验证,那么您的函数应该使用模式对话框提示用户输入凭据,然后通过ajax调用将这些凭据传递给服务器。在服务器端,您应该验证凭据,并使用FormsAuthentication.SetAuthCookie来指示对ASP.NET运行时的成功身份验证。运行时将维护authcookie(这样您就不必自己管理令牌)
- 对于任何为安全内容提供服务的ajax调用,在服务器端,该调用必须检查当前用户是否经过身份验证(使用
HttpContext.Current.User.Identity.IsAuthenticated)。如果没有,您可以重定向到错误页面或发出401响应代码(建议用于windows身份验证方案)。您可以在AJAX调用中为经过身份验证的用户添加任何授权方案
相关文章:
- Javascript:selenium Web驱动程序isDisplayed()不工作
- 在Web应用程序中使用Highcharts javascript
- WebDriverException:tinyMCE未在selenium Web driver java中定义
- Selenium Web驱动程序和javascript
- Windows形成web浏览器控件和Javascript更改的DOM
- 如何将javascript事件从web浏览器wpf控件发送到wpf的c#代码
- Steam Web API:I'我不知道该如何处理这个看起来像哈希的url来生成图像
- 在调用speak之前预加载Web Speech API
- 如何在visualstudio中调试web api时编辑javascript文件
- 是否存在React Native“;WEB代码安全防护”;
- 如何在Ionic Android中将Javascript注入到web视图中
- 将复杂对象从angular js传递到web api,它总是返回404
- 基于api密钥的NodeJS web服务
- 将下载链接从web浏览器传递给第三方应用程序
- 基于Web的JS调试库
- 使用javascript在客户端上使用Web服务
- 使用Ember的Web应用程序架构.动画逻辑应该放在哪里
- 谷歌'soa架构-为谷歌聚合内容'的web用户界面
- 基本的 dojo 1.7 简单的 Web 应用程序,具有优雅的基础架构(例如 Dojo 样板)
- 使安全“;“私人场地区域”;使用准无服务器web架构(AJAX模板魔术)
