Tengo un servidor que envía notificaciones de webhook a los servidores cliente. Antes de que el servidor cliente comience a procesar cualquier cosa, debe estar seguro de que el webhook se originó en mi servidor y que no se modificó ni suplantó.
Puedo usar un JSON Web Token (JWT) para firmar la solicitud y la carga útil con una clave secreta precompartida para asegurar todo lo anterior.
¿Esto es completamente redundante si el webhook se envía a través de HTTPS de todos modos?