Sto lavorando alla strategia di autenticazione per la mia app (di nuovo). La mia strategia attuale è un clone della strategia AWS di emissione di chiavi pubbliche e private e il loro utilizzo per firmare le richieste inviate alla mia API.
La mia comprensione è che questo è un modo ragionevolmente sicuro per autenticare i consumatori di API. Tuttavia, AWS sta eliminando questa pratica e non so davvero perché.
C'è qualcosa che non so sull'autenticazione della chiave privata / pubblica che pone un rischio per la sicurezza al mio servizio o ai suoi utenti?
È sicuro continuare questa pratica, o dovrei mordere il proiettile e passare a OAUTH o qualche altra strategia?
Il contesto per il gusto di questa domanda è che questa strategia viene utilizzata per autenticare i consumatori della mia API JSON-RPC. Lato client, la chiave privata viene utilizzata per hash vari dati contenuti all'interno dell'oggetto JSON; lato server viene recuperata la stessa chiave per confrontare un hash dei dati ricevuti con la firma.
Grazie per l'aiuto.