Sto cercando di creare una serie di semplici servizi web REST in cui:
- devono essere richiamati solo dai client lato server (cioè senza cellulare / javascript / desktop)
- sono accessibili solo da HTTPS (nessun downgrade a HTTP) I client
- verranno distribuiti solo in posizioni sicure e affidabili I client
- avranno ciascuno una chiave API univoca
- ogni servizio terrà un elenco di chiavi client consentite
Quando si accede a un servizio Web, un client fornirà la sua chiave client univoca nel corpo di ogni richiesta per l'autenticazione a quel servizio.
Domanda: questo semplice approccio è sufficiente per limitare l'accesso ai servizi solo ai client conosciuti?