В нашей среде, да. Но мы используем шлюзы Cisco и / или Layer7, которые выполняют аутентификацию, поэтому к тому времени, когда он попадает на сервер приложений, он находится во внутренней сети и является доверенным.
Кроме того, вы можете передать идентификатор пользователя / пароль и некоторую строку токена. Ваш сервер посмотрел бы на токен и проверил бы, прошел ли он тест "sniff" (слишком старый? Нулевая длина? Контрольная сумма плохая? Приходит с неправильного IP-адреса?), Если он прослушивает нормально, все в порядке. Если это не нормально (обычно пусто), используйте идентификатор пользователя / пароль для аутентификации, сгенерируйте новый токен с текущей меткой времени и используйте его IP-адрес (или что-то еще) для генерации нового токена. Возможно, добавьте туда GUID для уникальности. Если у них нет ничего действительного (токен неверен, идентификатор пользователя / пароль отсутствует), отправьте запрос обратно, чтобы они могли повторно отправить его с идентификатором пользователя / паролем.