Ho diversi servizi back-end (REST + SOAP) che devono essere consumati da una SPA (Single Page Angular2 App).
Poiché JWT (Token Web JSON) per il momento non è fattibile per me, la sicurezza viene eseguita utilizzando il Servizio di autenticazione centralizzata CAS (protocollo Single Sign-On).
Per evitare CORS (The Cross-Origin Resource Sharing) e avere sicurezza in un posto, sto pensando di creare un livello che sarà accessibile direttamente dal client e da quel livello effettuare ogni chiamata REST. Qualcosa come un proxy che passerà solo attraverso le richieste del client.
Questa è una implementazione del pattern Gatway API personalizzata poiché non utilizzo uno strumento di gestione API.
Vedi qualche svantaggio di questa soluzione?