保护Web服务

时间:2011-06-15 10:02:17

标签: web-services security wif

我们构建供已知第三方使用的Web服务。

我们倾向于实施非常基本的安全措施,包括:

  • 我们与双方沟通的已知令牌ID
  • 限制对已知IP地址子集的访问
  • 通过SSL保护传输层

我对此并不满意,但实施Federated Security(使用WIF / ADFS 2)非常复杂!我怎样才能证明使用这种技术 - 上述方法的根本原因是什么?

我意识到Web服务(可能会泄露敏感数据)现在只能像令牌一样安全,但用户名/密码组合也是如此。

由于 邓肯

1 个答案:

答案 0 :(得分:2)

为了改进或替换公共令牌,我将使用一些客户端/服务器证书身份验证。无论如何,您将使用SSL,客户端证书会提供更多功能