我们应该实行授权客户使用我们的Web服务？

Question

我们有，我们将公共Web服务器上主持一个Web服务，它会由医院的围墙内托管的Web服务器上的Web服务联系。我们编写的软件的两片，所以我们必须对什么是实现完全控制。

我们想确保两个Web服务器之间的通信。目前，我们已经制定的唯一事情是HTTPS的公共Web服务器和一个GUID来识别客户端上。

有网络级别类型的授权，我们可以支持的，但我不喜欢依靠这些，因为不是所有的客户（医院）将能够做同样的事情。有些人没有给我们一个静态IP的能力和一些不能做一个VPN，所以我们不能仅仅依靠这些方法。

技术您使用的还是你建议授权通信到您的Web服务什么的？的我们主要关心的是保持人们得到一个医院ID（目前只是一个GUID），并从我们的网站获取数据其意图的服务为医院。

我们会聘请其他网络级别的安全性措施来限制我们的系统公共访问，但我觉得一个软件解决方案是必要的，也是。

在系统尚未生产中，但即将开发完成。其在C＃的.NET上开发3.5

FWIW我在想某种形式的基于令牌的授权，因为我知道以前的雇主使用类似的规定。不过，我不知道具体要寻找什么，或者在话题的任何其他信息。

编辑：虽然我想使用WCF，对团队（包括我自己）目前没有人有任何经验，使用它，我们已经开发了Web服务的代码进行交互沿跟他们。所有地方使用.NET 2.0方法添加的Web引用的（从vs.net08，针对.NET 3.5），我们宁愿不完全重做。我不会说WCF是不是一种选择，但我不认为我们将与该选项心甘情愿。

Answer 1

你能使用类似的基本身份验证通过https提供的用户名密码有挑战性？我相信微软SOAP支持它相当好。你很可能只使用IIS配置基本身份验证（必须使用SSL），并在C＃只是通过ICredentials到您的代理。

从谷歌上搜索，它看起来像其他语言的支持基本身份验证通过SOAP了。

Answer 2

客户端证书可以被用于提供从一个呼叫者到您的web服务的凭证;它并不难走过去了证书和做任何额外评估，以决定什么证书具有可视性。

Answer 3

您可能想使用类似的OAuth：

http://oauth.net/

可以然后使用它与WCF，以提供一个端点。

从那里，你想索赔到内部ID映射为客户（你必须确定这种映射是什么）。

这样，您就不必依靠发行什么对任何人，所有你所要做的就是创建一个基于发送到您的权利要求书的映射。