Estoy trabajando en una aplicación que tendrá acceso a las claves API proporcionadas por nuestros usuarios. La aplicación hace llamadas a la API en nombre de nuestros usuarios.
La API que estamos usando permite a los usuarios agregar a la lista blanca las direcciones IP que pueden usar sus claves API. Estaba pensando en pedirles a nuestros usuarios que incluyan en la lista blanca la dirección IP de la aplicación para agregar una capa adicional de seguridad, de modo que solo se permitan las solicitudes provenientes de nuestra dirección IP.
Pero he leído que es bastante fácil falsificar las direcciones IP y considerando que voy a decirles a nuestros usuarios qué dirección IP hay en la lista blanca (es decir, un mal actor no tendría que trabajar demasiado para ver qué direcciones IP son válidos), me pregunto si esto vale la pena el esfuerzo?
Si un actor malintencionado obtuviera de alguna manera las claves API de los usuarios, ¿la lista de direcciones IP agregaría alguna capa de seguridad significativa? ¿O sería esto solo un pequeño inconveniente para el mal actor?
¡Gracias!