我有一个在三个应用程序之间共享的注册服务(.NET,最好是基于REST)。两个.NET应用程序和一个Java。他们都将通过此注册服务注册用户。注册API存在于它自己的服务器上。
我的问题是,如果用户未登录,验证注册服务的注册请求的最佳/正确方法是什么?
是否需要涉及密钥?
使用注册服务在所有应用程序之间共享用户名/密码吗?
我应该阻止不是来自三种应用程序服务的IP吗?
答案 0 :(得分:1)
如果服务托管在IIS 7+中,则无需更改任何代码即可添加IP限制支持。您可以使用“地址和域限制”模块来限制站点或虚拟目录级别的服务的入站连接。
http://technet.microsoft.com/en-us/library/cc731598(WS.10).aspx
否则,如果您想超越普通的IP限制,您很可能需要更改代码并利用某种身份验证存储来实现此目的。我认为鉴于提供的有限信息很难评估什么是最好/最正确的。例如,如果有问题的服务是WCF服务,那么只要编辑WCF服务器和客户端绑定配置,如果调用者是.NET客户端,您就可以利用Windows和/或NTLM身份验证而无需更改代码。
正确的方法是考虑到使注册服务不受保护的风险,并将其与保护注册服务的工作联系起来。对于这类问题,没有一种适合所有方法。