Мы разрабатываем приложение, которое состоит из веб-сервера, на котором размещается веб-служба (помимо прочего), и клиента, который будет взаимодействовать с этой веб-службой. Ожидается, что и клиентское приложение, и сервер будут использоваться в корпоративном брандмауэре. Это приложение будет упаковано и развернуто в организациях по всему миру, поэтому оно должно быть достаточно гибким для работы в различных типах сред.
Мой вопрос вращается вокруг аутентификации веб-службы и того, что подходит для реальных сценариев. Я знаю, что у некоторых компаний есть прокси-серверы, которые требуют отдельной аутентификации. Как часто это требование в организациях? Когда прокси-сервер вынуждает пользователя проходить аутентификацию (вы можете получить доступ к внутренним сайтам без аутентификации ... это аутентификация только для внешних сайтов)?
Причина, по которой я задаю эти вопросы, заключается в том, что я не уверен, какие возможности мы должны встроить в наше клиентское приложение для аутентификации в веб-службе. По умолчанию мы берем учетные данные текущего пользователя и передаем их на сервер. Как вы думаете, этого достаточно? В случае, когда компании потребуется некоторая форма альтернативной аутентификации для внутреннего доступа, это не будет работать. Мой вопрос вращается вокруг этого последнего случая - как часто это происходит? Зачем компании использовать альтернативные учетные данные для внутреннего доступа?
Спасибо!