У нас есть 2 веб-приложения, оба защищенные с использованием HTTPS (только сертификаты на стороне сервера) и система аутентификации с единым входом. В App1 пользователь щелкает ссылку, которая затем должна «развернуться» до страницы в App2. Они совместно используют один домен и сертификат SSL, но физически не являются тем же приложением. Когда приложение App1 пересылает или перенаправляет запрос в приложение App2, в запрос включается маркер аутентификации, чтобы приложение App2 могло проверить личность пользователя.

Приложение 1 знает, какую информацию пользователь имеет право видеть, называя это списком учетных записей; Приложение 2 не имеет доступа к этой информации (по крайней мере, на данный момент). Было предложено, чтобы App1 мог передать список авторизованных учетных записей в App2, также в запросе.

Мой вопрос заключается в том, защищает ли HTTPS полезную нагрузку и гарантирует, что она была сгенерирована только серверами App1 / App2? В частности, меня беспокоит вопрос о том, сможет ли действительный пользователь с действительным токеном аутентификации создать свою собственную форму с дополнительными учетными записями и отправить ее в виде действительного запроса HTTPS POST на сервер App2 и тем самым получить доступ к неавторизованным учетным записям?