Wir haben zwei Webanwendungen, die beide mit HTTPS (nur serverseitige Zertifikate) und einem Authentifizierungssystem für die einmalige Anmeldung gesichert sind. In App1 klickt ein Benutzer auf einen Link, der dann einen Drilldown zu einer Seite in App2 durchführen muss. Sie haben dieselbe Domain und dasselbe SSL-Zertifikat, sind jedoch physisch nicht dieselbe App. Wenn App1 die Anforderung an App2 weiterleitet oder umleitet, enthält sie ein Authentifizierungstoken in der Anforderung, damit App2 die Identität des Benutzers überprüfen kann.

App1 weiß, zu welchen Informationen der Benutzer berechtigt ist, nennt es eine Liste von Konten. App2 hat keinen Zugriff auf diese Informationen (zumindest derzeit nicht). Es wurde vorgeschlagen, dass App1 die Liste der autorisierten Konten in der Anfrage auch an App2 weitergibt.

Meine Frage ist, ob HTTPS die Nutzlast schützt und garantiert, dass sie nur von den App1 / App2-Servern generiert wurde? Insbesondere möchte ich wissen, ob ein gültiger Benutzer mit einem gültigen Authentifizierungstoken möglicherweise sein eigenes Formular mit zusätzlichen Konten erstellen und als gültige HTTPS-POST-Anforderung an den App2-Server senden kann, um Zugriff auf nicht autorisierte Konten zu erhalten.