我正在开发一个传统(ASMX)网络服务,目前通过私人网络使用。因此,此Web服务不执行身份验证/授权。我们打算把它放在公共网络上。在访问它的客户端上执行验证检查的最佳方法是什么。我想到了几个选择:
创建一个检查以下内容的Web服务调用: 1)受IP范围限制 2)使用用户名和密码 3)根据用户偏好使用其中任何一个。
一旦他们通过身份验证,然后给用户一个在后续调用中使用的令牌。并且还在SSL证书上托管服务。
我还阅读了MSDN上的WS-Security,它与我正在做的有什么不同,是否会更容易选择服务器端更改和客户端进行适当的更改?