Ho un'applicazione web e un servizio REST distribuito su due server diversi.
L'utente esegue l'accesso all'applicazione Web, quindi deve essere in grado di scaricare alcuni file privati dal servizio.
Lo scenario è abbastanza semplice, quindi vorrei evitare di usare JWT o OpenID Connect.
Attualmente, all'accesso, l'applicazione Web genera un token casuale (memorizzato con la sessione utente). Quindi, i collegamenti ai file sono costruiti in questo modo:
Quando viene chiamato l'endpoint server2, il servizio richiama l'applicazione Web in questo modo:
Restituisce l'ID utente, quindi il servizio può eseguire il controllo dell'autorizzazione. Tutti gli endpoint sono corretti, memorizzati in un file di configurazione.
È abbastanza sicuro?