He creado una API de servicio web y su arquitectura es tal que el servidor requiere que un cliente firme la solicitud junto con una clave secreta que se le asigna (la firma siempre es diferente entre varias solicitudes).

El servidor coincide con la firma del cliente con su propia firma computada. Si coinciden, el servidor devuelve la respuesta.

Me pregunto si un cliente debe verificar la respuesta del servidor para ver si es de la misma aplicación a la que se realizó la solicitud.

¿Es posible algún tipo de ataque entre la solicitud HTTP y la respuesta HTTP?