¿Cuáles son las mejores prácticas para proteger las API anidadas?
Aquí hay un ejemplo:
Navegador de usuario (ya autenticado) - > API REST A - > REST API B (interna y puede o no estar expuesta a internet)
Normalmente, la API REST A está protegida con algo como tokens OAuth. Sin embargo, la pregunta es porque la API A está llamando a la API B, debe ser un modelo de seguridad de aplicación a aplicación entre ellos y no usar el contexto del usuario o usar el contexto del usuario, es decir, el token del usuario se pasa de A a B para una Autenticación adicional y amp; Autorización además de usar algún otro mecanismo para garantizar que B se llame solo desde A?
Tener dos niveles de AuthN & AuthZ entre A y amp; B puede parecer un proceso redundante y adicional, pero ¿no proporcionaría la mayor seguridad?