保护对 WCF 服务的 JSON 调用的安全

Question

我的 WCF 服务中有一个可以删除用户的方法。通过对我的 WCF 方法进行 JSON 调用，可以使用此功能。 （即：Users/Delete/20 将删除用户 20。）我怎样才能使输入 Users/Delete/20 的人无权删除该用户？或者有人伪造 JSON 请求。我已经阅读了 ValidateAntiForgeryToken 属性，但这似乎对我没有帮助。难道是我用错了？

Answer 1

删除用户的功能可能已经实现了，因为确实允许某些人删除用户。您的服务需要的是身份验证（识别用户）和授权（检查只有获得许可的用户才能执行某些方法）。

如果您有适当的身份验证和授权，那么您无需担心哪些客户端访问您的服务。

如果您提供更多信息，我可以更具体。谁有权删除用户？他们使用什么客户端？谁不允许删除用户？有权删除用户的人可以删除任何用户吗？或者他们只能删除某些用户（例如属于同一部门的用户）？

（并且请使您的删除方法只能作为 POST 请求执行，而不能作为 GET 请求执行。）