还是一个提供wcf或者webservice的时候,如何保证安全的问题
之前问过,没有反应,还是再问一次看看
比如
我有一台服务器,大磁盘,想给各个注册的用户存储文件,所以我建立一个wcf或者webservice服务,发布一些方法,如 UpFile(byte[] value,string fileName) ,保存一个字节流到服务器上去。
然后另外一个应用系统,比如论坛,已经有注册用户信息了,注册的用户可以保存一些头像或者其他东西到服务器上去,这个应用系统应用那台服务器的服务,为了区别用户,UpFile方法似乎应该修改参数列表,增加一个表示用户名的参数UpFile(byte[] value,string fileName,string userName)
现在这样的系统,我就不知道安全性如何保证,是把这个提供服务的机器放到内网并做IP限制吗?
我想把userName作为一个session的东西,这样每个方法就可以不用这个参数了,这样可不可行?如何可行,这个session是用户端生成呢?还是那个应用服务器,论坛的那个服务器生成呢?他们的原理是什么?
或者我的思路是不是完全错误了?