Я создал и протестировал службу WCF REST, которая защищена с помощью SSL и аутентификации Windows через IIS 7. Я также создал и протестировал чистый веб-клиент html / javascript, размещенный в IIS 7, который защищен с помощью SSL и Windows. Аутентификация - один и тот же сервер, другой «сайт» в IIS. Служба REST не является общедоступной, но веб-клиент.
Без безопасности все прекрасно работает, но теперь мы готовы к полевым испытаниям, и безопасность должна быть реализована.
Моя конечная цель - чтобы пользователь посещал mywebclient.com и проходил аутентификацию, используя свои учетные записи Active Directory. Сначала я думал, что было бы безопасно оставить вызовы службы от клиента к службе REST незащищенными (поскольку трафик от веб-клиента к веб-службе будет внутренним), но это не защищает нас от внутреннего злоумышленника. Кроме того, в будущем службы REST будут доступны для карманных компьютеров через собственные приложения.
Я пытался получить как можно больше информации по этому вопросу, но каждая часть документации Microsoft содержит примеры клиентов, написанные на .NET.
Как я могу разделить контекст безопасности между этими сайтами без преобразования веб-клиента в приложение на основе .NET? Может ли это быть достигнуто путем объединения веб-клиента и службы в один «сайт» IIS?
Редактировать: Если клиент и служба существуют в одном и том же пуле приложений, означает ли это, что они могут обмениваться информацией аутентификации между процессами клиента и сервера?