我有两个独立的自制应用程序需要相互通信.一个是前端应用程序(实际上是asp.net),另一个是会计应用程序的后端接口.后端接口不是专门为此前端创建的 - 它是许多其他应用程序用于与我们的产品集成的通用接口.
为方便用户,我们希望在前端应用程序中提供Windows身份验证.这意味着我们需要将凭据传递给后端应用程序,后端应用程序必须检查它们.
我们不希望将我们的前端设置为后端的"可信"应用程序,后端可以作为任何用户进行身份验证.如果前端被黑客入侵,那么它也会破坏后端系统.
据我了解,使用Windows身份验证执行此操作的一种方法是Kerberos委派.但是,这需要为要委派的用户和执行委派的计算机(带有我们的前端的服务器)显式启用.默认情况下,这些选项在Active Directory中被禁用,我怀疑许多系统管理员将保留关于为所有用户启用它们的保留.
此外,我不确定这是Kerberos代表团的意图.我不需要我们的前端来冒充连接的用户.我只需要证明这个用户已经对我进行了身份验证.
你会怎么做?