Мне нужно создать структуру единого входа, и мой вопрос: обязателен ли SSL?
Подробности: приложение будет иметь ссылку на мое веб-приложение. Когда пользователь щелкнет эту ссылку, его локальное имя пользователя будет передано моему веб-приложению, после чего будет выполнен поиск в файле сопоставления. Если это локальное имя пользователя существует на карте, то пользователь вошел в систему. Если нет, то пользователю будет предложено ввести свое сетевое имя пользователя и пароль, а после аутентификации будет создана запись на карте.
Как мне убедиться, что пользователь является тем, кем он себя называет, а не Джо Блоу с улицы, отправляющим HTTP-запрос POST с этим именем пользователя?
Должен ли я использовать SSL (и если да, то что это влечет за собой)? Будет ли достаточно добавления соли и шифрования имени пользователя? Может быть, заблокировать его, чтобы исходный IP-адрес находился в контролируемом диапазоне?
Мое веб-приложение работает на IIS 6/7 и использует платформу ASP.NET MVC, если это важно.