Estaba pensando en ese tema, y estoy un poco confundido. Estoy usando SSL . Hay una historia:
- El usuario haga clic en el botón "Dame X"
- El servicio 1 lo recibe, obtiene el nombre de usuario de la sesión y envía GET al servicio 2 pasando el nombre de usuario como parámetro de URL
- El servicio 2 lo recibe, envía la respuesta con algunos datos.
- El servicio 1 lo recibe y envía esos datos al usuario.
El servicio 1 y 2 están en esta misma máquina, usa el mismo contenedor web (Tomcat, por ejemplo).
Descubrí que cuando enviamos una solicitud directamente del usuario (él puede ver la URL de destino) no es seguro, pero no encontré nada sobre el "reenvío". ¿Es seguro?
Y sé que hay muchas mejores soluciones, pero esta pregunta es puramente hipotética;)