我有一个在三个应用程序之间共享的注册服务(.NET,最好是基于REST的)。两个.NET应用程序和一个Java。他们都将通过此注册服务注册用户。注册API驻留在它自己的服务器上。某些应用程序的ASP.NET Web服务和身份验证锁定
我的问题是,如果用户没有登录,认证注册服务注册服务的最佳/正确方式是什么?
密钥是否需要参与?
是否应在使用注册服务的所有应用程序之间共享用户名/密码?
我应该阻止不是来自三个应用程序服务的IP吗?
如果该服务托管在IIS 7 +中,则无需更改任何代码即可添加IP限制支持,这相当简单。您可以使用“地址和域限制”模块来限制到站点或虚拟目录级别的服务的入站连接。
http://technet.microsoft.com/en-us/library/cc731598(WS.10).aspx
否则,如果你想超越纯IP的限制,你将最有可能需要更改代码,并利用某种身份验证存储的做到这一点。鉴于所提供的信息有限,我认为很难评估什么是最好的/正确的。例如,如果有问题的服务是WCF服务,则只需编辑WCF服务器和客户端绑定配置,即使调用方是.NET客户端,您也可以利用Windows和/或NTLM身份验证而不进行任何代码更改。
正确的方法将考虑到无需保护注册服务的风险,并将其与确保注册服务的努力相结合。这种问题没有一个适合所有方法。