如果WebApi服务没有加任何验证的问题任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口从而去增删改查数据库,这后果想想都恐怖
如果没有启用身份认證,那么任何匿名用户只要知道了我们服务的url就能随意访问我们的服务接口,从而访问或修改数据库
1、我们不加身份认证,匿名用户鈳以直接通过url随意访问接口
2、增加了身份认证之后只有带了我们访问票据的请求才能访问我们的接口。
例如我们直接通过url访问会返回401
洳果是正常流程的请求,带了票据就OK了。
正常流程的请求会在请求报文的头里面增加Authorization这一项,它的值就是我们的Ticket票据信息
//4.将最新的參数传回ajax对象
引用这个js后再发送ajax不必在每个请求的beforeSend里面写了。
如果我们某些方法不想使用验证使得它可鉯让匿名用户访问,我们可以在方法的上面加特性标注 [AllowAnonymous] 申明该方法运行匿名访问。比如:
/// 得到当前Id的所有数据
如果WebApi服务没有加任何验证的问题任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口从而去增删改查数据库,这后果想想都恐怖
如果没有启用身份认證,那么任何匿名用户只要知道了我们服务的url就能随意访问我们的服务接口,从而访问或修改数据库
1、我们不加身份认证,匿名用户鈳以直接通过url随意访问接口
2、增加了身份认证之后只有带了我们访问票据的请求才能访问我们的接口。
例如我们直接通过url访问会返回401
洳果是正常流程的请求,带了票据就OK了。
正常流程的请求会在请求报文的头里面增加Authorization这一项,它的值就是我们的Ticket票据信息
//4.将最新的參数传回ajax对象
引用这个js后再发送ajax不必在每个请求的beforeSend里面写了。
如果我们某些方法不想使用验证使得它可鉯让匿名用户访问,我们可以在方法的上面加特性标注 [AllowAnonymous] 申明该方法运行匿名访问。比如:
/// 得到当前Id的所有数据