我们有一个 Web 服务,我们将托管在公共 Web 服务器上,并且将通过托管在医院墙壁内的 Web 服务器上的 Web 服务与其联系。我们已经编写了这两个软件,因此我们可以完全控制实现的内容。
我们希望保护两个 Web 服务器之间的通信。目前,我们唯一拥有的是公共 Web 服务器上的 https 和用于识别客户端的 guid。
我们可以支持网络级别的授权类型,但我不喜欢依赖这些类型,因为并非我们所有的客户(医院)都能做同样的事情。有些不能给我们静态IP,有些不能做VPN,所以我们不能仅仅依靠这些方法。
您正在使用或建议使用哪些技术来授权与您的 Web 服务的通信? 我们主要关心的是阻止人们获得医院 ID(目前只是一个 GUID)并从我们的 Web 服务中获取数据,这些数据是为医院准备的。
我们将采用其他网络级别的安全措施来限制公众对我们系统的访问,但我认为软件解决方案也是必要的。
该系统尚未投入生产,但已接近开发完成。它在 .net 3.5 上用 C# 开发
FWIW 我正在考虑某种基于令牌的授权,因为我知道以前的雇主使用过类似的东西。但是,我不知道具体要查找什么或有关该主题的任何其他信息。
编辑:虽然我想使用 WCF,但目前团队中没有人(包括我自己)有任何使用它的经验,我们已经开发了 Web 服务以及与之交互的代码。所有使用 .net 2.0 方法添加的 Web 引用(来自 vs.net08,针对 .net 3.5),我们不希望完全重做。我不会说 WCF 不是一个选项,但我认为我们不会心甘情愿地选择该选项。