Quali sono le migliori pratiche per proteggere le API nidificate?
Ecco un esempio:
Browser utente (già autenticato) - > API REST A - > API REST B (interna e può o non può essere esposta a Internet)
Tipicamente, l'API A di REST è protetta usando qualcosa come i token OAuth. Tuttavia, la domanda è perché l'API A sta chiamando API B, dovrebbe essere un modello di sicurezza App to App tra loro e non utilizzare il contesto dell'utente o utilizzare il contesto dell'utente, cioè il token utente viene passato da A a B per ulteriori Autenticazione & Autorizzazione oltre all'utilizzo di qualche altro meccanismo per garantire che B sia chiamato solo da A?
Avere due livelli di AuthN & AuthZ tra A & B potrebbe sembrare un'elaborazione ridondante e aggiuntiva, ma non fornirebbe la massima sicurezza?