Soy relativamente nuevo en desarrollo y seguridad web y busco limitar el acceso a mi aplicación web a compañías específicas (y / o direcciones IP).
La autenticación a nivel de usuario mediante nombre de usuario y contraseña no es una opción. Podría configurar un firewall y solo permitir el tráfico de ciertas direcciones IP, pero esta no parece ser la solución más segura, ya que alguien podría falsificar la IP.
¿Hay un patrón de autenticación que pueda manejar este caso? El resultado final tendría a todos los usuarios pertenecientes a una organización determinada que tengan acceso a la aplicación. Utiliza un certificado o algo así?