Mamy 2 aplikacje internetowe, obie zabezpieczone za pomocą HTTPS (tylko certyfikaty po stronie serwera) i system uwierzytelniania jednokrotnego logowania. W App1 użytkownik kliknie link, który następnie musi „przejść w dół” na stronę w App2. Dzielą tę samą domenę i certyfikat SSL, ale fizycznie nie są tą samą aplikacją. Kiedy App1 przesyła lub przekierowuje żądanie do App2, zawiera w nim żądanie uwierzytelnienia, dzięki czemu App2 może zweryfikować tożsamość użytkownika.

App1 wie, jakie informacje użytkownik może zobaczyć, nazwij go listą kont; App2 nie ma dostępu do tych informacji (przynajmniej nie w tej chwili). Zaproponowano, aby App1 przekazał listę autoryzowanych kont do App2 również we wniosku.

Moje pytanie brzmi, czy HTTPS chroni ładunek i gwarantuje, że został wygenerowany tylko przez serwery App1 / App2? Dokładniej, obawiam się, czy ważny użytkownik, posiadający ważny token uwierzytelniania, może być w stanie zbudować własny formularz z dodatkowymi kontami i przesłać go jako poprawne żądanie HTTPS POST do serwera App2, a tym samym uzyskać dostęp do nieautoryzowanych kont?