Actualmente estoy investigando sobre cómo proteger las llamadas internas de la API y me interesé en la firma de solicitudes, ya que parece bastante seguro (usar un secreto que no enviarás a nadie para firmar tu solicitud es bastante seguro).
Mi problema es que la mayoría de los servicios de puerta de enlace API ofrecen mecanismos OAuth2. Tengo serias dudas sobre su seguridad.
¿Alguien puede explicar si es realmente seguro enviar sus credenciales para obtener un token y usarlo en un encabezado Authorization
?
No puedo evitar sentir que cualquier persona que pueda obtener con éxito la información de la primera solicitud tendrá todo lo que necesita para hacerse pasar por futuras llamadas a la API.