Mejores prácticas para dos servicios web que tienen que autenticarse entre sí [cerrado]

Puede usar WS-Security para firmar solicitudes. Dependiendo de la pila de su aplicación, incluso puede hacer que una CA local firme los certificados y use la firma de la CA para verificar cualquier conjunto arbitrario de clientes.

La "mejor" respuesta depende de la disposición de su servidor, su modelo de amenaza, su modelo de seguridad, su perfil de vulnerabilidad, su programa de mantenimiento y docenas de otros factores.

Esencialmente estás preguntando "¿cuál es el mejor mecanismo de autenticación?" - a lo que la respuesta claramente es, "no".

Pero déjame lanzar algunas opciones:

• Secreto compartido con autenticación basada en compendio
• Almacenamiento secreto basado en compilación con autenticación de texto simple
• Autenticación basada en certificados con un solo certificado de firma de confianza
• Autenticación basada en certificados con confianza explícita de todos los certificados permitidos
• Autenticación basada en certificados con una PKI global
• confianza basada en IP sin autenticación
• confianza basada en IP además de la autenticación
• Solicitudes canalizadas a través de un canal autenticado (por ejemplo, SSH)
• Las solicitudes pasaron a través de una VPN además de o en lugar de cualquiera de los anteriores

Y podría seguir adelante si tuviera la paciencia para hacerlo. Cada sistema tiene su lugar, y podría llegar a una situación convincente donde cualquiera de los anteriores sea apropiado, y una situación convincente donde cualquiera de los anteriores sea completamente inapropiado.

Todo depende.