Un motivo per cui è necessario entrambi è quando l'API viene utilizzata sull'infrastruttura che separa la verifica della certificazione del client e la verifica del carico utile. In alcuni ambienti, il controllo dei certificati client viene eseguito a livello di bordo, mentre la verifica del carico utile viene eseguita a livello di applicazione, dopo aver attraversato alcuni livelli di bilanciamento del carico o sistemi proxy.
Questo a sua volta può consentire una forma sottile di attacco, in cui il certificato client è valido per la connessione al sistema, ma il payload interno corrisponde effettivamente a un altro client - il sistema edge consente l'accesso, poiché il certificato client è valido, e il sistema applicativo consente di eseguire l'azione, poiché non ha modo di verificare quale utente ha effettuato la richiesta, ma si fida del livello del bordo per consentire solo le richieste valide attraverso.
Se il carico utile è firmato, tuttavia, l'applicazione può ora verificare che l'azione richiesta sia appropriata per il client di connessione, anche se non ha accesso al controllo del certificato client.