Uno dei nostri requisiti di sicurezza richiede l'autenticazione tra i server durante la trasmissione dei dati. Questi endpoint API sono accessibili solo all'interno della rete interna e non vengono mai esposti.
La nostra idea è di utilizzare un singolo schema di autenticazione token. Avremo una coppia token tra i server interni e, a ogni richiesta, il server chiamante invierà il token nell'intestazione della richiesta su HTTPS al server di destinazione. Il server di destinazione autenticherà il token per vedere se corrisponde e se lo fa, elabora la richiesta. In caso contrario, registra il tentativo di connessione non valido.
Riteniamo che implementare OAUTH 2.0 o simili sarebbe eccessivo visto che è interno, controlliamo entrambi i server, c'è un piccolo gruppo di persone con accesso e sarà su HTTPS.
Questa è una soluzione accettabile? Il token verrà generato utilizzando una funzione casuale protetta e memorizzato su ciascun server con diritto di accesso bloccato. Il token non scadrà poiché non è pensato per gli utenti ma per i server.