Sécurisation des appels JSON au service WCF

Question

J'ai une méthode dans mon service WCF qui peut supprimer un utilisateur. Cette fonctionnalité est disponible via un appel JSON à ma méthode WCF. (IE: Users/Delete/20 supprimera l'utilisateur 20.) Comment puis-je faire en sorte que quelqu'un qui tape Users/Delete/20 n'aura pas accès à supprimer l'utilisateur? Ou quelqu'un simulant une requête JSON. J'ai lu sur l'attribut ValidateAntiForgeryToken, mais cela ne semble pas m'aider. Est-ce que je l'utilise mal?

Answer 1

La fonction de suppression d'un utilisateur a probablement été implémentée car certaines personnes sont en effet autorisées à supprimer un utilisateur. Ce dont votre service a besoin, c'est d'authentification (identification de l'utilisateur) et d'autorisation (vérification que seul l'utilisateur autorisé peut exécuter certaines méthodes).

Si l'authentification et l'autorisation sont en place, vous n'avez pas à vous soucier de l'accès du client à votre service.

Je pourrais être plus précis si vous fournissez plus d'informations. Qui permet de supprimer des utilisateurs? Quel client utilisent-ils pour cela? Qui n'est pas autorisé à supprimer des utilisateurs? Ceux qui sont autorisés à supprimer des utilisateurs peuvent-ils supprimer des utilisateurs? Ou peuvent-ils seulement supprimer certains utilisateurs (tels que ceux appartenant au même département)?

(Et s'il vous plaît faites de votre méthode de suppression une méthode qui ne peut être exécutée que comme une requête POST et non comme une requête GET.)