Intranet/Webservice Autorisierung anhand der Anfrageherkunft
Hallo zusammen,
gefühlt Stelle ich mir die Frage regelmäßig und finde dazu aber nicht die "richtigen" Antworten (oder auch nicht die gewünschten 😃).
In meinem Fall betrifft es ein z.B. ein Intranetszenario (Sharepoint) welches Windowsauthenfizierung einsetzt. In diesem werden diverse Informationen via Webservices zur Verfügung gestellt und meist über Javascript genutzt.
Mein Wunsch ist es jedoch, dass diese Webservices nur innerhalb des Sharepoints genutzt werden können. Es handelt sich bei den Webservices nicht um die Sharepointwebservices selbst, sondern um zusätzliche eigene Webservices.
Welche Mittel können dafür überhaupt sinnvoll eingesetzt werden?
Gruß
t0ms3n
100% zuverlässig mit Kerberos gar keine, da der Aufrufer nicht immer zu ermitteln ist (Direkteingabe, Privacy Settings...).
Da müsste man schon ein Session-Sharing des Service und der Webseite umsetzen, dass dies annähernd den Ansprüchen gerecht wird.
Eine API ist halt nun mal unabhängig.
- performance is a feature -
Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code