Quiero implementar un mecanismo de seguridad mediante el cual puedo asegurar mi RestApi de los "Clientes que no son lo que dicen ser". En mi caso, el consumidor de API por ahora es otro servicio web, no un navegador. He leído numerosos artículos sobre cómo asegurar un restApi todo lo que dicen es usar tokens de portador, Auth0, JWT. Por lo general, todas estas técnicas comparten una clave / token cifrada, sea cual sea, solo en la solicitud de inicio de sesión. En las solicitudes posteriores, pasarán la misma ficha en los encabezados. ¿Cómo puedo validar un cliente si no tengo ninguna solicitud de inicio de sesión?