Siamo in un processo per esporre alcuni dati (non sensibili) tramite le API REST. Il nostro utente API ha richiesto lo stesso utilizzando solo l'autenticazione della chiave API. Nessuna autenticazione reciproca TLS, nessuna OAuth, ma semplice autenticazione basata su chiave API.
Vorrei ottenere alcuni input per capire quali sono le diverse precauzioni che dovremmo considerare per ospitare tali API come provider.
I consumatori hanno la loro interfaccia esposta come client basato su browser (pagina web) & vorrebbero chiamare le API direttamente dall'app browser lato client (non dal server Web). Ho sentito che esiste un pattern & se i dati non sono sensibili può essere supportato. Ma mi piace assicurarmi che siano state prese tutte le precauzioni possibili dal punto di vista della sicurezza.