Al momento stiamo lavorando per migliorare un'applicazione Android che si connette a un'API del servizio app di Azure utilizzando certificati client e token al portatore per l'autenticazione su TLS 1.2.
Stiamo studiando il passaggio a HTTP / 2 per larghezza di banda e amp; requisiti di prestazione. Lo standard HTTP / 2 non ha implementazioni per l'autenticazione del certificato client.
Vogliamo ancora un livello aggiuntivo accanto all'autenticazione del token al portatore. Quali sono le opzioni valide e sicure da esplorare per rafforzare la nostra API?
L'aggiunta di un nonce è una possibile soluzione per bloccare le richieste dannose, ma vorremmo limitare l'accesso pubblico alla nostra API.