我有一個在三個應用程序之間共享的註冊服務(.NET,最好是基於REST的)。兩個.NET應用程序和一個Java。他們都將通過此註冊服務註冊用戶。註冊API駐留在它自己的服務器上。某些應用程序的ASP.NET Web服務和身份驗證鎖定
我的問題是,如果用戶沒有登錄,認證註冊服務註冊服務的最佳/正確方式是什麼?
密鑰是否需要參與?
是否應在使用註冊服務的所有應用程序之間共享用戶名/密碼?
我應該阻止不是來自三個應用程序服務的IP嗎?
如果該服務託管在IIS 7 +中,則無需更改任何代碼即可添加IP限制支持,這相當簡單。您可以使用「地址和域限制」模塊來限制到站點或虛擬目錄級別的服務的入站連接。
http://technet.microsoft.com/en-us/library/cc731598(WS.10).aspx
否則,如果你想超越純IP的限制,你將最有可能需要更改代碼,並利用某種身份驗證存儲的做到這一點。鑑於所提供的信息有限,我認爲很難評估什麼是最好的/正確的。例如,如果有問題的服務是WCF服務,則只需編輯WCF服務器和客戶端綁定配置,即使調用方是.NET客戶端,您也可以利用Windows和/或NTLM身份驗證而不進行任何代碼更改。
正確的方法將考慮到無需保護註冊服務的風險,並將其與確保註冊服務的努力相結合。這種問題沒有一個適合所有方法。