Ограничение Адреса IP IIS - я могу полагаться на него онлайн?

Я вижу один главный дефект с этим - весь, взломщик должен сделать, угнать одну коммуникацию, и приложение будет затем только говорить с их компьютером. Реалистично, не было бы слишком трудно следить за трафиком для наблюдения то, что будет требоваться.

Конечно, Вы могли использовать шифрование с помощью пары "открытый/закрытый ключ" для предотвращения этой проблемы, затем Вы проходите проверку подлинности - который походит на намного лучшую идею.

Мы использовали клиентские сертификаты. Они требуются на уровне IIS, не в приложении так никакие модификации там. Затем любому, который хочет в, должны были выпустить клиентский сертификат мы так, не имеет значения, откуда они выполняют его. Конечно, это не ограничивает его определенной сетью, просто определенные машины, которые имеют сертификат.