Abbiamo un'API lato server completamente basata su REST. Stiamo codificando per proteggerli con l'autenticazione di tipo oAuth a due zampe. In futuro prevediamo app per iPhone e Android, ma per ora disponiamo di un'applicazione client che sarà in grado di connettersi alle nostre API del server. L'interfaccia utente e il back-end (REST) potrebbero trovarsi sullo stesso server o su un altro server.
Il mio team di front end mi dice che, trattandosi di un'app interna, non è necessario proteggerli con oAuth, così come non avremmo bisogno di una chiave per ogni stanza della nostra casa. Possiamo semplicemente utilizzare le restrizioni IP di Tomcat su quali server / IP possono accedere a queste API. Sarebbe inutile e eccessivo usare l'autenticazione di tipo oAuth per le app interne.
La mia squadra di front end è giusta? Qual è il vantaggio di proteggere le API REST con oAuth per le app interne? Inizialmente non pensiamo di utilizzare SSL, poiché si tratta di un'applicazione SaaS per utenti consumer