Tengo una aplicación web y un servicio REST implementado en dos servidores diferentes.
El usuario realiza el inicio de sesión en la aplicación web, luego debe poder descargar algunos archivos privados del servicio.
El escenario es bastante simple, por lo que me gustaría evitar el uso de JWT o OpenID Connect.
Actualmente, al iniciar sesión, la aplicación web genera un token aleatorio (almacenado con la sesión del usuario). Luego, los enlaces a los archivos se crean de esta manera:
Cuando se llama al punto final server2, el servicio devuelve la aplicación web de esta manera:
Esto devuelve el ID de usuario, por lo que el servicio puede realizar la verificación de autorización. Todos los puntos finales son fijos, almacenados en un archivo de configuración.
¿Es esto lo suficientemente seguro?