Я работаю над традиционным (ASMX) веб-сервисом, который в настоящее время используется через частную новую работу. Таким образом, этот веб-сервис не выполняет аутентификацию / авторизацию. Мы намерены разместить его в общедоступной сети. Каков наилучший способ проверки подлинности клиентов, обращающихся к нему? Я подумал о паре вариантов:
Создает вызов веб-службы, который проверяет следующее:
1) Ограничение по диапазону IP
2) Используйте имя пользователя и пароль
3) Используйте любой из них в зависимости от предпочтений пользователя.
Как только они пройдут аутентификацию, дайте пользователю токен, который будет использоваться в последующих вызовах. А также разместить службу на SSL-сертификате.
Я также читал о WS-Security на MSDN, как он отличается от того, что я делаю, и будет ли это более простым вариантом как для изменений на стороне сервера, так и для клиентов, чтобы внести соответствующие изменения?