Tengo una aplicación basada en React que utiliza servicios RESTful en el backend distribuido en una red privada. Para comunicarse con dichos servicios utilizando AJAX, la aplicación cliente envía toda su solicitud a través de la puerta de enlace proxy. Algo como esto:
Mis aplicaciones envían solicitudes de verificación previa (OPCIONES) para verificar la configuración de CORS.
Cuando el acceso a la solicitud de recursos protegidos primero pasa por el middleware de autenticación que básicamente verifica el encabezado x-access-token y lo valida. Devuelve 401 si el token no es válido o falta. El problema es que no puedo configurar encabezados personalizados en la solicitud de verificación previa y mi middleware de autenticación lo bloquea.
La única solución que puedo encontrar en Internet es verificar si la solicitud es OPCIONES y, si lo es, ignorar el middleware de autenticación y solo pasar la solicitud. (para Java / Spring o Node / Express)
Ahora, pasar todas las solicitudes de OPCIONES a través de olores no seguros para mí. ¿Qué debo tener en cuenta? ¿Cómo puedo validar si la solicitud de OPCIÓN es una creada por el navegador? ¿Qué riesgos de seguridad existen dentro de este enfoque?