Многое зависит от того, какую информацию вы передаете. Например, в приложении, над которым я работаю, мы используем атрибуты, чтобы указать, какие функции веб-сайта должны быть показаны пользователю, вошедшему в систему. Это явно подходящее использование. Теперь мы также разрешаем использовать атрибуты для создания профиля пользователя, даже если у нас есть веб-сервис, который делает то же самое (и на самом деле реализация вызывает веб-сервис за кулисами). Это не идеальный контекст для такого рода вещей; нет конечной точки для передачи ответа веб-службы или ошибок, возникших в результате попытки. Но мы получаем достаточное сопротивление со стороны клиентов, которым не нужно вызывать отдельный веб-сервис, прежде чем они смогут сделать SSO-вызов. Таким образом, мы должны были пойти на компромисс. Что мы сделали, так это потребовали, чтобы, если клиент хочет использовать эту конкретную функцию, он предоставил конечную точку (либо адрес электронной почты, либо веб-страницу) для получения ошибок от вызова веб-службы. И если они обеспокоены безопасностью передаваемой информации, они могут использовать стандартное шифрование XML.