Una razón para requerir ambos es cuando la API se está utilizando en la infraestructura que separa la verificación de certificación del cliente y la verificación de la carga útil. En algunos entornos, la verificación de los certificados de los clientes se realiza a un nivel perimetral, mientras que la verificación de la carga útil se lleva a cabo en el nivel de la aplicación, después de pasar por algunas capas de equilibrio de carga o sistemas proxy.
Esto a su vez puede permitir una forma sutil de ataque, donde el certificado del cliente es válido para la conexión al sistema, pero la carga útil interna corresponde en realidad a otro cliente: el sistema perimetral permite el acceso, ya que el certificado del cliente es válido. y el sistema de aplicación permite que se realice la acción, ya que no tiene forma de verificar qué usuario realizó la solicitud, sino que confía en que la capa de borde solo permita solicitudes válidas a través.
Sin embargo, si la carga útil está firmada, la aplicación ahora puede verificar que la acción solicitada es adecuada para el cliente que se conecta, incluso si no tiene acceso a la verificación del certificado del cliente.