Ho un server che invia notifiche webhook ai server client. Prima che il server client inizi a elaborare qualcosa, dovrebbe essere certo che il webhook sia originato dal mio server e che non sia stato alterato o falsificato.
Posso utilizzare un token Web JSON (JWT) per firmare la richiesta e il carico utile con una chiave segreta pre-condivisa per garantire tutto quanto sopra.
Questo è completamente ridondante se il webhook viene inviato su HTTPS comunque?
Dipende.
La maggior parte delle connessioni HTTPS normali sono autenticate solo per un singolo lato (di solito il server), l'autenticazione reciproca è molto meno comune. Se è presente solo l'autenticazione lato singolo, è possibile utilizzare la firma JWT per autenticare l'altro lato. Se la tua connessione TLS è già autenticata reciprocamente utilizzando sia il certificato client sia quello server, la firma JWT potrebbe essere ridondante.
Un caso in cui la firma JWT potrebbe non essere ridondante anche se si utilizza già l'autenticazione reciproca è se il destinatario deve salvare la richiesta e la firma per consentire a una terza parte indipendente (ad esempio i regolatori) di essere in grado di controllare che si è realmente il uno che ha fatto la richiesta (anche se per questo caso, avrai bisogno di una firma asimmetrica piuttosto che di una firma di chiave già condivisa).