Мы создаем веб-сервисы, предназначенные для использования известными третьими сторонами.
Мы стремимся внедрить базовую защиту, которая включает в себя:
- Известный идентификатор токена, с которым мы общаемсяобе стороны
- Ограничить доступ к известному подмножеству IP-адресов
- Защитить транспортный уровень с помощью SSL
Мне это неудобно, но я использую Федеративную безопасность (используя WIF / ADFS 2) ОЧЕНЬ сложно!Как я могу оправдать использование этой технологии - что в корне не так с вышеупомянутым подходом?
Я понимаю, что веб-сервис (который может предоставлять конфиденциальные данные) теперь так же безопасен, как токен, но и имя пользователя/ пароль комбинированный.
Спасибо, Дункан