J'ai un ensemble d'applications .NET fonctionnant dans un environnement Web public qui se connecte à un composant centralisé composé de pages Web et de services Web.Activation de l'authentification entre applications
Existe-t-il un moyen de mettre en œuvre une fonctionnalité de sécurité pour que les pages Web centralisées soient sûres de l'identité des applications appelantes? Faire une publication et fournir un paramètre de chaîne de caractères indiquant l'application de l'appelant est une solution naïve, quelqu'un peut la modifier manuellement.
Des idées? Tks à l'avance.
Je pense que nous avons besoin de quelques détails supplémentaires. Votre serveur, que vous avez écrit est l'application C, et fonctionne dans un environnement de confiance quelque part. Vous avez également des applications A et B que vous avez écrites et qui communiquent avec C via l'Internet public (non sécurisé). Ce qui n'est pas clair, c'est si A et B fonctionnent sur des machines approuvées. Si A et B sont dignes de confiance, c'est relativement facile. Si A et B tournent sur la machine d'un utilisateur (potentiellement) malveillant, alors vous avez un problème beaucoup plus compliqué. Ou êtes-vous inquiet que quelqu'un d'autre ait un programme D avec lequel il pourrait essayer d'accéder à C? –
A et B sont dans des machines de confiance. Mais étant des applications web, quelqu'un peut se tromper avec javascript, les paramètres de chaîne de requête, .... Si quelqu'un regarde l'application A et le voit publier en C, fournissant un paramètre disant "Je suis A", ils peuvent changer le poste et dire "Je suis B". Ce n'est pas bon;) – Dante