标签: security architecture ws-security ws-federation
我们已实施自定义STS。目前,我们根据领域和范围限制允许的RP。我们可以配置的主机。事实证明这有点不实用。我希望能够允许人们(例如我们的开发人员)访问我们的身份验证服务,但不允许竞争对手使用它。
实施某种安全机制以正确执行此操作会有什么好方法?我应该实施某种挑战/响应机制吗?或者是否已经建立了一些安全措施?
注意,我们使用的是.NET,但我确信该解决方案与该技术无关。