J'écris une passerelle API qui exposera un point d'entrée unique à diverses autres API auxquelles on ne peut accéder que via cette passerelle API.Authentification mutuelle entre la passerelle API et le microservice API?
Cette passerelle API sera servir les demandes de diverses interfaces comme un site Web, une application mobile, une application de bureau, quel que soit ...
Je veux être en mesure de vérifier que les demandes de mon passerelle API sont venus d'une de ces sources et ne vient pas seulement de quelqu'un qui fait une demande Curl. À cette fin, j'ai cherché un moyen d'autoriser ces demandes. J'ai envisagé de mettre en œuvre des JWT pour vérifier d'où proviennent ces demandes, ces services frontaliers devant partager un secret avec la passerelle API afin qu'ils puissent créer des jetons à envoyer, que la passerelle API pourrait alors vérifier. Je suppose que le problème vient du fait que ces secrets devraient être stockés en toute sécurité dans les applications frontend. Je me demandais s'il y avait une meilleure façon de vérifier que les demandes provenaient d'où je m'attendais à ce qu'ils viennent?
Quelqu'un a-t-il des idées?
Merci d'avance :)