Tengo un servidor que envía notificaciones de webhook a los servidores cliente. Antes de que el servidor cliente comience a procesar cualquier cosa, debe estar seguro de que el webhook se originó en mi servidor y que no se modificó ni suplantó.
Puedo usar un JSON Web Token (JWT) para firmar la solicitud y la carga útil con una clave secreta precompartida para asegurar todo lo anterior.
¿Esto es completamente redundante si el webhook se envía a través de HTTPS de todos modos?
Depende.
La mayoría de las conexiones HTTPS normales solo se autentican para un solo lado (generalmente el servidor), la autenticación mutua es mucho menos común. Cuando solo hay una autenticación de un solo lado, la firma JWT se puede usar para autenticar el otro lado. Si su conexión TLS ya se autentica mutuamente con el Certificado de Cliente y Servidor, entonces la firma JWT puede ser redundante.
Un caso en el que la firma JWT puede no ser redundante incluso si ya usa autenticación mutua es si el destinatario necesita guardar la solicitud y la firma para permitir que un tercero independiente (por ejemplo, reguladores) pueda auditar que usted fue realmente uno que hizo la solicitud (aunque para este caso, necesitará una firma asimétrica en lugar de una firma de clave previamente compartida).