Uno dei miei colleghi ha una chiamata web api che sta controllando che l'utente abbia effettuato l'accesso e il suo token corrisponda a ciò che è in sessione (grazie a tutti voi per il vostro aiuto). Diciamo che questo è di livello blu.
Dopo che è stato confermato l'utente è chi dicono di essere, quindi effettua una chiamata a un'altra API su un altro server (chiamiamola layer Red). Non sono sicuro del motivo per cui non chiama semplicemente uno strato direttamente ma presuppone che ci sia una buona ragione per questo "Mirroring".
Ha detto che impedisce a qualcuno di chiamare direttamente il layer rosso e che solo il layer blue può chiamarlo. Gli ho chiesto come e ha detto l'autenticazione di base di Windows.
Non ho nemmeno ancora visto il suo IIS, ecc., ma presumo che ci sia un setup di autenticazione di base.
Quali sono alcuni rischi che ti vengono in mente in uno scenario come questo?
Grazie!