Le migliori pratiche per due servizi Web che devono autenticarsi l'un l'altro [chiuso]

Puoi utilizzare WS-Security per firmare le richieste. A seconda dello stack di applicazioni, è anche possibile che una CA locale firmi i certificati e utilizzi la firma CA per verificare uno qualsiasi di un gruppo arbitrario di client.

La risposta "migliore" dipende dalla disposizione del server, dal modello di minaccia, dal modello di sicurezza, dal profilo di vulnerabilità, dal programma di manutenzione e da dozzine di altri fattori.

In sostanza stai chiedendo "qual è il miglior meccanismo di autenticazione?" - a cui la risposta è chiaramente "no".

Ma permettimi di buttare alcune opzioni:

• Segreto condiviso con autenticazione basata su digest
• Archiviazione segreta basata su digest con autenticazione in testo semplice
• Autenticazione basata su certificato con un singolo certificato di firma attendibile
• Autenticazione basata su certificato con attendibilità esplicita di tutti i certificati consentiti
• Autenticazione basata su certificato con PKI globale
• Fiducia basata su IP senza autenticazione
• Fiducia basata su IP oltre all'autenticazione
• Richieste di tunnel su un canale autenticato (ad esempio SSH)
• Richieste inoltrate su una VPN in aggiunta o in sostituzione di una delle precedenti

E potrei andare avanti se avessi la pazienza per questo. Ogni sistema ha il suo posto, e potrei arrivare a una situazione avvincente in cui uno dei precedenti è appropriato e una situazione irresistibile in cui uno dei precedenti è assolutamente inappropriato.

Dipende tutto.