Uno de nuestros mandatos de seguridad requiere autenticación entre servidores cuando se transmiten datos. Estos puntos finales de API solo son accesibles dentro de la red interna y nunca están expuestos.
Nuestra idea es utilizar un único esquema de autenticación de token. Tendremos un par de tokens entre los servidores internos y con cada solicitud, el servidor que llama enviará el token en el encabezado de la solicitud a través de HTTPS al servidor de destino. El servidor de destino autentificará el token para ver si coincide y, si lo hace, procesa la solicitud. Si no lo hace, registra el intento de conexión no válida.
Creemos que la implementación de OAUTH 2.0 o similar sería excesiva ya que es interna, controlamos ambos servidores, hay un pequeño grupo de personas con acceso y será a través de HTTPS.
¿Es esta una solución aceptable? El token se generará mediante una función aleatoria segura y se almacenará en cada servidor con el acceso bloqueado. El token no caducará ya que no está destinado a los usuarios, sino a los servidores.