Seguridad de API anidada

1

¿Cuáles son las mejores prácticas para proteger las API anidadas?

Aquí hay un ejemplo:

Navegador de usuario (ya autenticado) - > API REST A - > REST API B (interna y puede o no estar expuesta a internet)

Normalmente, la API REST A está protegida con algo como tokens OAuth. Sin embargo, la pregunta es porque la API A está llamando a la API B, debe ser un modelo de seguridad de aplicación a aplicación entre ellos y no usar el contexto del usuario o usar el contexto del usuario, es decir, el token del usuario se pasa de A a B para una Autenticación adicional y amp; Autorización además de usar algún otro mecanismo para garantizar que B se llame solo desde A?

Tener dos niveles de AuthN & AuthZ entre A y amp; B puede parecer un proceso redundante y adicional, pero ¿no proporcionaría la mayor seguridad?

    
pregunta delta313 30.10.2018 - 21:30
fuente

0 respuestas

Lea otras preguntas en las etiquetas