我正在使用C#和WCF开发订阅数据传送Web服务。客户将注册以按月收费使用不同使用级别的服务。项目要求要求可以从托管在同一服务器上的Web应用程序,桌面应用程序和分发给客户的Windows服务以及WordPress插件访问该服务。将来,可能会为其他CMS系统和移动(Apple / Android)应用程序添加支持。
安全要求包括对服务的每次调用的标准用户ID和密码身份验证,以验证订阅状态和类型以及跟踪用户活动。这很容易做,但还有更多,这就是我正在寻求建议。
首先,需要跟踪IP地址并使用此信息来控制访问。其中一部分是限制每个ID和订阅类型在特定时间段内可以调用服务的不同IP地址的数量。第二部分是完全阻止从某些国家访问服务。我在这里已经阅读了一些关于如何实施IP地址检测/跟踪的一些其他答案,但我更担心其他人遇到的与此相关的潜在困难。我们应该注意什么?
第二个主要安全要求是使用我们的CMS插件限制对我们提供的桌面/服务应用程序或授权域的服务访问。我不确定如何使用某种身份验证令牌来实现这一点,当然这种令牌很容易被攻击。也许结合登录和IP地址要求,这就足够了。有没有其他方法可能是更好的方法?