Actualmente estamos ocupados en mejorar una aplicación de Android con conexiones a una API del Servicio de aplicaciones de Azure mediante certificados de cliente y token de portador para la autenticación a través de TLS 1.2.
Estamos investigando el traslado a HTTP / 2 para el ancho de banda & requisitos de desempeño. El estándar HTTP / 2 no tiene implementación para la autenticación del certificado de cliente.
Todavía queremos una capa adicional junto a la autenticación del token del portador. ¿Cuáles son las opciones válidas y seguras para explorar para fortalecer nuestra API?
Agregar un nonce es una posible solución para bloquear solicitudes maliciosas, pero nos gustaría limitar el acceso público a nuestra API.