Attualmente sto lavorando alla creazione di un servizio di assistenza che verranno utilizzate da altre applicazioni che creeremo (dai server di applicazioni back-end). La mia attuale procedura utilizza un singolo valore di chiave privata per l'autenticazione e l'autorizzazione di una particolare richiesta API. Ad esempio se viene eseguita la seguente richiesta:
curl -v -X POST https://sample.api.url/transaction \
-H "Private-Key: ThePrivateKeyStringValueGoesHERE" \
-d '{
"test":"testVal"
}'
Se ThePrivateKeyStringValueGoesHERE esiste all'interno del sistema, la richiesta verrà elaborata, altrimenti il servizio genererà una risposta 401.
Ovviamente se la Private-Key è mai trapelata, chiunque l'abbia ottenuta avrebbe accesso all'api, tuttavia se ciò accadesse, potrebbe essere emessa una nuova chiave e l'applicazione potrebbe essere aggiornata per usare la nuova chiave (tuttavia questo processo avrebbe bisogno per avere luogo cambiando manualmente la chiave all'interno del file di configurazione dell'applicazione poiché non ci sarebbe logica per richiedere una nuova chiave).
Ci sono delle preoccupazioni di cui dovrei essere a conoscenza prima di procedere su questa strada? O suona come un approccio ragionevole?