Voglio implementare un meccanismo di sicurezza con il quale posso proteggere il mio RestApi dai "Clienti che non sono come pretendono di essere". Nel mio caso il consumatore di API per ora è un altro servizio web non browser. Ho letto numerosi articoli su come assicurare un riposo. Tutto ciò che dicono è usare i token Bearer, Auth0, JWT. Di solito tutte queste tecniche condividono un token / chiave crittografato qualunque esso sia, solo sulla richiesta di accesso, Su richieste successive, passeranno lo stesso token nelle intestazioni. Come posso convalidare un cliente se non ho nessuna richiesta di accesso.