Мы создаем веб-сервисы, предназначенные для использования известными третьими лицами.
Мы склонны внедрять очень базовую безопасность, которая включает в себя:
- Известный идентификатор токена, который мы сообщаем обеим сторонам
- Ограничить доступ к известному подмножеству IP-адресов
- Защитите транспортный уровень через SSL
Меня это не устраивает, но внедрение федеративной безопасности (с использованием WIF/ADFS 2) ОЧЕНЬ сложно! Как я могу оправдать использование этой технологии — что в корне неправильного в вышеописанном подходе?
Я понимаю, что веб-служба (которая может раскрывать конфиденциальные данные) теперь так же безопасна, как токен, но то же самое можно сказать и о комбинации имени пользователя и пароля.
Спасибо, Дункан.
