Estoy tratando de asegurar una API REST, nuestra situación es que cada cliente que se conecte a esta API también tendrá un certificado firmado por nuestra propia CA. Debido a esto, creo que podemos usar el certificado del cliente como un mecanismo de autenticación e instalar nuestro certificado raíz en el servidor web para la verificación y luego usar la autenticación mutua a través de HTTPS. Intentamos hacer esto con nginx, por lo que es tan simple como requerir que nginx tenga la verificación del cliente activada. Sin embargo, no tengo claro si debo seguir marcando la hora y firmar cada solicitud, ¿debo preocuparme por la integridad del mensaje y el ataque de repetición? ¿Hay algún otro ataque contra el que deba protegerme?