Tenemos 2 aplicaciones web, ambas protegidas mediante HTTPS (solo certificados del lado del servidor) y un sistema de autenticación de inicio de sesión único. En App1, un usuario hará clic en un enlace que luego deberá "profundizar" en una página en App2. Comparten el mismo dominio y certificado SSL, pero físicamente no son la misma aplicación. Cuando App1 reenvía o redirige la solicitud a App2, incluye un token de autenticación en la solicitud para que App2 pueda verificar la identidad del usuario.

App1 sabe qué información está autorizado a ver el usuario, llámelo una lista de cuentas; App2 no tiene acceso a esta información (al menos no en este momento). Se ha propuesto que App1 también pase la lista de cuentas autorizadas a App2 en la solicitud.

Mi pregunta es si HTTPS protege la carga útil y garantiza que fue generada solo por los servidores App1 / App2. Más específicamente, mi preocupación es si un usuario válido, con un token de autenticación válido, podría crear su propio formulario con cuentas adicionales y enviarlo como una solicitud POST de HTTPS válida al servidor de App2 y así obtener acceso a cuentas no autorizadas.