Estamos en un proceso para exponer algunos datos (no confidenciales) a través de las API REST. Nuestro consumidor de API solicitó lo mismo utilizando solo la autenticación de clave de API. No se requiere TLS de autenticación mutua, no hay OAuth, pero la autenticación sencilla basada en clave API es simple.
Me gustaría obtener algunas entradas para comprender cuáles son las diferentes precauciones que debemos tener en cuenta para alojar dichas API como proveedor.
Los consumidores tienen su interfaz expuesta como cliente basado en navegador (página web) & les gustaría llamar a las API directamente desde la aplicación del navegador del lado del cliente (no desde el servidor web). He oído que es un patrón existente y amp; Si los datos no son confidenciales, puede ser compatible. Pero me gusta asegurarme de que se hayan tomado todas las precauciones posibles desde la perspectiva de la seguridad.