Мне нужно создать структуру единого входа, и мой вопрос: является ли SSL обязательным?
Подробнее:
В приложении будет ссылка на мое веб-приложение. Когда пользователь щелкает эту ссылку, его локальное имя пользователя передается в мое веб-приложение, после чего выполняется поиск в файле сопоставления. Если это локальное имя пользователя существует на карте, то пользователь входит в систему. Если нет, то пользователю будет предложено ввести свое сетевое имя пользователя и пароль, и после аутентификации будет создана запись на карте.
Как мне убедиться, что пользователь - это тот, о ком говорят, а не Джо Блоу с улицы, отправляющий запрос HTTP POST с этим именем пользователя?
Должен ли я использовать SSL (и если да, что это влечет за собой)? Было бы достаточно добавить соль и зашифровать имя пользователя? Может быть, заблокировать его, чтобы IP-адрес источника находился в контролируемом диапазоне?
Мое веб-приложение работает на IIS 6/7 и использует платформу ASP.NET MVC, если это важно.