Я нахожусь в процессе создания простой веб-службы для нашего клиента, который хочет иметь возможность получать информацию о корзине покупок и добавлять/обновлять элементы в корзине. Я написал CFC с удаленным методом для каждого. Теперь, очевидно, когда эти методы CFC установлены на access="remote"
, весь мир может вызывать их как есть. Однако мне нужно включить безопасность, чтобы гарантировать, что единственными людьми, которые могут вызывать эти методы удаленно (не с моего веб-сайта), являются те, кому я дал разрешение. И я не хочу, чтобы это было навязчиво (принуждение входа в систему и т. д.).
Например, веб-службы существуют на http://www.mywebsite.com, и я хочу разрешать запросы только от http://www.yoursite1.com и http://www.yoursite2.com. Использование HTTP_REFER
не годится, так как его можно подделать. Как я могу это сделать? Можно ли использовать самозаверяющий сертификат, чтобы как-то проверить, разрешен ли запрос?
ПРИМЕЧАНИЕ. Я также хотел бы иметь возможность использовать эти веб-службы для вызовов с нашего собственного веб-сайта, поэтому мне потребуется решение, которое работает для обоих сценариев.