Sto cercando di proteggere un'API REST, la nostra situazione è che ogni client che si collega a questa API avrà anche un certificato firmato dalla nostra CA. Per questo motivo, penso che possiamo usare il certificato client come meccanismo di autenticazione e installare il nostro certificato di root sul server web per la verifica e quindi utilizzare l'autenticazione reciproca tramite HTTPS. Intendiamo farlo con nginx, quindi è semplice come richiedere a nginx di avere la verifica del client. Tuttavia, non sono sicuro se debba ancora firmare il timestamp e firmare ogni richiesta, dovrei ancora preoccuparmi dell'integrità dei messaggi e dell'attacco di riproduzione? C'è qualche altro attacco di cui dovrei fare attenzione?