保护WCF服务的策略，返回jQuery请求的Json数据

我很难理解这一点，而谷歌就是帮不上忙

我正在考虑将一些遗留代码转换为使用以下技术：ASP.NET、WCF、jQuery

ASP.NET转换不是问题，在服务器端访问WCF数据服务也不是问题

然而，我遇到的问题是，我可能无法保护服务，这样我就可以返回通过客户端jQuery请求的JSON格式的数据，但将其锁定以防止外部访问

对于这个特定的实现，这不是什么大问题，因为。。。类似Ajax的功能已经存在了很长一段时间，并且没有被滥用

但是，一旦这个项目完成，我想把我学到的东西转换成另一种经常被滥用的形式，并允许更流畅的显示

如果我想对Web服务进行客户端调用，我是否必须使Web服务对匿名访问开放

---

除了将Web界面保护到特定的用户子集（我认为将添加的功能保护到登录用户没有问题）之外，在这种情况下，还有其他保护Web服务的策略吗？我只是忽略了一些显而易见的事情吗？

需要通过ajax为服务器端页面及其调用方提供一个经过身份验证的会话，这两个会话都支持HTTPS

---

另一种策略是使用在最后一页加载期间绑定到会话的令牌来确认会话本身没有被高提升。这是在客户端加载页面时完成的。服务器跟踪下一个令牌必须是什么才能确认一个有效的请求。

需要通过ajax为服务器端页面及其调用者提供一个经过身份验证的会话，两者都支持HTTPS

---

另一种策略是使用在最后一页加载期间绑定到会话的令牌来确认会话本身没有被高提升。这是在客户端加载页面时完成的。服务器跟踪下一个令牌必须是什么才能确认一个有效的请求。

Re-token：我之前确实在考虑这个问题，然后把它推到了次要位置。然而，我想不起来为什么。。。这也将允许一定程度的灵活性；要么让代币在分配后x分钟过期，要么允许半滚动过期（最长为一定时间）。Re Token：我之前确实在考虑这个问题，然后将其推到了次要位置。然而，我想不起来为什么。。。这也将允许一定程度的灵活性；要么让令牌在分配后x分钟过期，要么允许半滚动过期（最长为一定时间）。