Czy potrzebujemy podpisu bezpieczeństwa dla odpowiedzi usługi internetowej?
Stworzyłem interfejs API usługi internetowej, a jego architektura jest taka, że serwer wymaga podpisania żądania przez klienta wraz z przypisanym do niego kluczem tajnym (podpis jest zawsze różny w wielu żądaniach).
Serwer dopasowuje podpis klienta do własnej obliczonej podpisu. Jeśli są one zgodne, serwer zwraca odpowiedź.
Zastanawiam się, czy klient powinien sprawdzić odpowiedź wracającą z serwera, aby sprawdzić, czy pochodzi z tej samej aplikacji, do której skierowano żądanie.
Czy istnieje jakikolwiek atak pomiędzy żądaniem HTTP a odpowiedzią HTTP?