RIA 服务身份验证 - 什么类型？防止“复制”？

Question

我有一个 Silverlight 应用程序，它将在开放的互联网上运行，基本上每个曾经生活过的人都可以使用。

该应用程序利用 RIA 服务来操作服务器上数据库中的数据。

该应用程序创建、读取、更新和删除不同种类的数据，但我只希望这些操作在应用程序内部发生。

这就带来了两个问题：

1. 对于使用哪种类型的身份验证有具体建议吗？表单还是 Windows？
2. 有没有办法阻止某人“链接”到该应用程序？也就是说，从包含页面复制 HTML，将其粘贴到本地计算机上自己的 HTML 页面中并运行它？最终目标是仅允许应用程序在嵌入直接从我的服务器请求的页面中时运行，并且仅允许我的服务器运行？

Answer 1

1. 如果您的应用程序在内部网络上使用，那么 Windows 身份验证是最好的。否则（如您的情况）请使用表单身份验证。

2. Silverlight 自动阻止应用程序（除非它们以更高的信任度运行）访问 Internet 上不来自应用程序起源的域的资源（Web 服务、HTML 等），除非该域具有跨域访问权限。域策略文件位于其根目录中。 Silverlight 运行时会阻止这种情况（而不是服务器），因此这是基于客户端的安全功能，而不是基于服务器的安全功能。如果您的服务器上没有跨域策略文件，您的应用程序将只能在从您的服务器运行时才能与您的域服务进行通信（正如您之后的情况）。应用程序将运行，但对这些服务的调用将失败。

如果您想阻止应用程序从其他域运行，您始终可以在代码中检查应用程序源自哪个域，并将其与硬编码的域名相匹配。

希望这有帮助......

克里斯