ashx 处理程序的自定义安全性

Question

在我的 WCF Web 服务中，我有一个自定义的 ashx 处理程序。它的设计目的是让人们可以调用 Web 服务并获取动态链接来下载文件。

因此，向客户端提供页面的 IIS 服务器调用 Web 服务。这会生成链接。该链接可以传递给客户端计算机（即它们将运行网络浏览器），并且它们的浏览器可以打开该链接。该链接将指向 ashx 处理程序，结果将是文件被下载。

对于 WCF 服务来说，它使用 Windows 身份验证，因为该服务不是公共的，但我希望允许对 ashx 处理程序进行匿名身份验证，因为可以从任意数量的客户端计算机调用该处理程序。

有什么想法吗？

谢谢。

Answer 1

我建议将 ashx 处理程序和文件下载功能移至单独的应用程序根目录，以便您可以使用匿名访问来配置它。将 Web 服务与文件下载服务解耦还可以让两者驻留在不同的服务器上，从而可能解决以后如果需要从外部访问下载服务但需要保持 Web 服务私有的情况下可能会遇到的防火墙问题。