Sto usando OAuth2 per proteggere un'API. Questa API verrà utilizzata esclusivamente da un sito Web noto e alcune app di Cordova.
- Il sito invierà sempre un'intestazione
referer
corrispondente. - L'app Cordova invierà sempre un'intestazione
x-requested-with
.
Ho due domande simili a riguardo.
- Si possono (o dovrebbero) utilizzare queste intestazioni per verificare l'identità di un client quando si richiede un token di accesso?
- Si può (o dovrebbe) utilizzare queste intestazioni in aggiunta al token di accesso concesso per verificare l'identità del cliente?