Каковы рекомендации по защите вложенных API-интерфейсов?
Вот пример:
Браузер пользователя (уже аутентифицирован) -> REST API A -> REST API B (внутренний и может илиможет быть недоступен для Интернета)
Как правило, REST API A защищен с помощью чего-то вроде токенов OAuth.Однако вопрос заключается в том, что API A вызывает API B, если между ними должна быть модель безопасности между приложениями, а не пользовательский контекст или пользовательский контекст, т.е. маркер пользователя передается из A в B для дополнительной аутентификации и авторизации вПомимо использования какого-то другого механизма, чтобы гарантировать, что B вызывается только из A?
Наличие двух уровней AuthN и AuthZ между A & B может показаться избыточным и дополнительной обработкой, но разве это не обеспечит большую безопасность?