Stworzyłem interfejs API usługi internetowej, a jego architektura jest taka, że ​​serwer wymaga podpisania żądania przez klienta wraz z przypisanym do niego kluczem tajnym (podpis jest zawsze różny w wielu żądaniach).

Serwer dopasowuje podpis klienta do własnej obliczonej podpisu. Jeśli są one zgodne, serwer zwraca odpowiedź.

Zastanawiam się, czy klient powinien sprawdzić odpowiedź wracającą z serwera, aby sprawdzić, czy pochodzi z tej samej aplikacji, do której skierowano żądanie.

Czy istnieje jakikolwiek atak pomiędzy żądaniem HTTP a odpowiedzią HTTP?