Divulgación: no soy un profesional de la seguridad, pero tengo un problema de seguridad (creo) que necesito hablar con un cliente.
Tenemos una organización asociada que ha creado una API para una aplicación móvil que estamos creando. En lugar de utilizar oAuth para el inicio de sesión de Facebook, debemos enviar la ID de facebook de un usuario al punto final de la API, a través de HTTPS, con una clave de API estática en el encabezado.
Consideran que esto es lo suficientemente seguro como para otorgar acceso a la cuenta de ese usuario. Pero me huele a pescado.
es decir,
POST a enlace con el encabezado X-Auth-APIKEY = TOPSECRET
Obviamente, veo un problema en el que si la clave está comprometida, se atornilla (porque está codificada en nuestra aplicación), pero ¿hay algo más que me esté perdiendo?
Felicitaciones adicionales por traducir cualquier amenaza potencial al lenguaje que un gerente de marketing podría entender :)