Ho un dubbio sul metodo di autenticazione che seguiamo. Non pensare che questo abbia qualcosa a che fare con OAuth in questo momento.
- Il browser raggiunge un URL che mostra una pagina di accesso.
- Dopo che l'utente accede al browser ha un token JWT.
- Ora utilizziamo questo token per accedere a Rest endpoint-1 . Non è prevista la verifica delle attestazioni perché non è stato possibile decodificare il token. Questo Rest endpoint-1 accede a sua volta a un altro backend Rest endpoint-2 che convalida le attestazioni.
La mia domanda è questa. Rest endpoint-1 non è in grado di emettere il proprio token o verificare il token che riceve perché passa semplicemente il token al back-end.
Questo dovrebbe essere permesso? Come dovrebbe essere risolto? Un altro token?