まぁすでにここまでは実装おわってるのだけど・・・
チャレンジ&レスポンス方式を利用する。
チャレンジコードはGUID、パスワードはDB内にハッシュの形で入っておりGUID+パスワードのMD5ハッシュを結合したもののMD5ハッシュをレスポンスに用いる。
チャレンジコードはユーザIDで取りだし(有効期間10分長いかな)
レスポンスコードはユーザIDとレスポンスで送信セッションコードを返す。
セッションの有効期限は20分にしよかなー
セッションコードはすべての関数に対して持ちまわる
ログアウトを用いて終了するようにプログラムの作者には義務付ける。
XMLWebサービスは何がおきてもSoapExceptionが発生するので、それらは放置しサーバ側で例外ハンドルし、メールで通知するようなサービスを立てる。(この部分は過去のプロジェクトの掘り起こし+α)
突っ込み希望
Tsugumiはシェアードソース方式+非商用フリーで行こうかなと思ってます。
みなさんのつっこみがたよりですよろしく。