Estoy trabajando en la estrategia de autenticación para mi aplicación (otra vez). Mi estrategia actual es un clon de la estrategia de AWS de emitir claves públicas y privadas y usarlas para firmar solicitudes enviadas a mi API.
Tengo entendido que esta es una forma razonablemente segura de autenticar a los consumidores de API. Sin embargo, AWS está eliminando esta práctica, y realmente no sé por qué.
¿Hay algo que no sepa sobre la autenticación de clave privada / pública que represente un riesgo de seguridad para mi servicio o para sus usuarios?
¿Es seguro continuar con esta práctica o debo morder la bala y pasar a OAUTH o alguna otra estrategia?
El contexto para esta pregunta es que esta estrategia se utiliza para autenticar a los consumidores de mi API JSON-RPC. En el lado del cliente, la clave privada se utiliza para codificar varios datos contenidos dentro del objeto JSON; del lado del servidor, se recupera la misma clave para comparar un hash de los datos recibidos con la firma.
Gracias por cualquier ayuda.