Ich habe eine Webservice-API erstellt und die Architektur ist so, dass der Server von einem Client verlangt, dass er die Anforderung mit einem ihm zugewiesenen geheimen Schlüssel signiert (die Signatur ist bei mehreren Anforderungen immer unterschiedlich).

Der Server vergleicht die Signatur des Clients mit seiner eigenen berechneten Signatur. Wenn sie übereinstimmen, gibt der Server die Antwort zurück.

Ich frage mich, ob ein Client die Antwort überprüfen soll, die vom Server zurückkommt, um festzustellen, ob sie von derselben Anwendung stammt, an die die Anforderung gestellt wurde.

Ist ein Angriff zwischen HTTP-Anfrage und HTTP-Antwort möglich?