Temos dois aplicativos da Web, ambos protegidos usando HTTPS (somente certificados do lado do servidor) e um sistema de autenticação de logon único. No App1, um usuário clicará em um link que precisará "detalhar" em uma página no App2. Eles compartilham o mesmo domínio e certificado SSL, mas fisicamente não são o mesmo aplicativo. Quando o App1 encaminha ou redireciona a solicitação para o App2, ele inclui um token de autenticação na solicitação para que o App2 possa verificar a identidade do usuário.

App1 sabe quais informações o usuário está autorizado a ver, chame de lista de contas; App2 não tem acesso a essa informação (pelo menos não neste momento). Foi proposto que o App1 também possa passar a lista de contas autorizadas para o App2, na solicitação.

Minha pergunta é se o HTTPS protege a carga útil e garante que ela foi gerada apenas pelos servidores App1 / App2? Mais especificamente, minha preocupação é se um usuário válido, com um token de autenticação válido, pode criar seu próprio formulário com contas adicionais e enviá-lo como uma solicitação HTTPS POST válida para o servidor App2 e, assim, obter acesso a contas não autorizadas?