保护嵌套API的最佳做法是什么?
这里是一个例子:
用户浏览器(已通过身份验证)-> REST API A-> REST API B(内部,并且可能会或可能不会暴露于互联网)
通常,REST API A使用OAuth令牌之类的东西进行保护。但是,问题在于,由于API A正在调用API B,因此它应该是它们之间的App to App安全模型,而不是使用用户上下文或使用用户上下文,即用户令牌从A传递到B以便在其中进行其他身份验证和授权除了使用其他机制来确保仅从A调用B?
在A和B之间具有两级AuthN和AuthZ听起来可能是多余的,并且需要进行额外的处理,但这是否不能提供最大的安全性?