Вопрос незаурядный.
есть сервисы на MVC5 без каких либо вьюх, т.е. работают как wcf сервисы. есть несколько сайтов тоже на mvc5, которые работают с этими сервисами. вопрос заключается в том, как сделать правильную "аутентификацию" сайта-сервра на сервисах.

вот варианты, как я это вижу:
1. для каждого запроса на сервис передавть логин\пароль. как мне кажется не очень хороший вариант, как минимум страдает перформанс.
2. токен (тикет) передавть для каждого запроса. вроде хороший вариант, но с техн точки зрения, как это правильно сделать я не знаю. нужно ли тикеты делать статическими или генерировать при обращении нового сайта-сервера. делать 1 тикет для всех или каждому свой. как увязать их с ролями (если понадобится в будущем). есть ли какие классы из фреймворка или писать свой типа if(request.ticket == storedTicket) OK else NOTOK;
3. разместить сервисы внутри сети и не показывать их наружу, тогда проблема безопасности вроде как отпадает. Это получается чисто внутрикорпоративный вариант, но наврятли он подходит.

в общем посоветуйте, как это делается правильно?
всем спасибо

hVostt,

хороший вариант, но выглядит так, что нужно много работы проделать. Может есть что попроще!?