Sécurité personnalisée Pour ashx Handler

Question

Dans mon service Web WCF, j'ai un handler ashx personnalisé. Il est conçu pour qu'une personne puisse appeler le service Web et obtenir un lien dynamique pour télécharger un fichier. Par conséquent, un serveur IIS qui sert une page à un client appelle le service Web. Cela génère le lien. Le lien peut être transmis à la machine cliente (c'est-à-dire qu'ils exécuteront un navigateur Web) et leur navigateur peut ouvrir le lien. Le lien sera au gestionnaire ashx, et le résultat sera que le fichier sera téléchargé.

Pour le service WCF, il utilise l'authentification Windows parce que le service n'est pas public, mais je veux autoriser l'authentification anonyme pour le gestionnaire ashx car cela peut être appelé à partir de n'importe quel nombre de machines client.

Des idées?

Merci.

Answer 1

Je vous recommande de déplacer le gestionnaire ashx et la fonctionnalité de téléchargement de fichiers vers une racine d'application distincte afin de pouvoir le configurer avec un accès anonyme. Découpler le service Web du service de téléchargement de fichiers permettrait également aux deux de vivre sur des serveurs différents, potentiellement résoudre les problèmes de pare-feu que vous pourriez rencontrer plus tard si le service de téléchargement doit être accessible en externe mais vous devez garder le service Web privé.