3つのアプリケーション間で共有される登録サービス(.NET、好ましくはRESTベース)があります。 2つの.NETアプリケーションと1つのJava。どちらも、この登録サービスを通じてユーザーを登録します。登録APIは自身のサーバー上にあります。特定のアプリケーションのASP.NET Webサービスと認証のロックダウン
私の質問は、ユーザーがログインしていない場合、登録サービスに行く登録要求を認証するための最良の方法ですか?
秘密鍵が関与する必要がありますか?
登録サービスを使用するすべてのアプリケーションでユーザー名とパスワードを共有する必要がありますか?
3つのアプリケーションサービスに由来しないIPをブロックする必要がありますか?
サービスがIIS 7+でホストされている場合は、コードを変更することなくIP制限のサポートを追加するのは簡単です。 「アドレスとドメインの制限」モジュールを使用して、サイトまたは仮想ディレクトリレベルでサービスへの着信接続を制限することができます。
http://technet.microsoft.com/en-us/library/cc731598(WS.10).aspx
あなたは、プレーンIPの制限を超えて移動する場合それ以外の場合は、あなたが最も可能性の高いコードを変更し、これを実現するために認証ストアのいくつかの並べ替えを活用する必要があります。私は、提供される情報が限られているため、何が最良か/正しいのかを評価することは難しいと思います。たとえば、問題のサービスがWCFサービスの場合、呼び出し元がWCFサーバーとクライアントのバインド構成を編集するだけで.NETクライアントであれば、コードを変更せずにWindowsおよび/またはNTLM認証を活用できます。
正しいアプローチでは、登録サービスを保護されないままにしておき、それを保護するための努力と結びつけるという露出リスクを考慮に入れます。この種の質問に対するすべてのアプローチに適合するサイズはありません。