アプリケーションのバックエンドサーバから呼出される(インターネットに公開しない)WEB APIを開発しています。
内部犯の脅威を考慮した場合に、このようなAPIの認証についてどのように考えるべきでしょうか。
ネットワークのレイヤでは特定の内部サーバからしかAPIアクセスできないよう制限を設ける事になると思いますが、
アプリケーションとしてどのような認証を行うべきか、少し混乱しています。
呼出元がユーザではなく、プログラムとなるため、認証の考え方が変わってくるのかなと思うのですが、
整理ができておりません。
「認証」、「認可」のそもそもの定義を鑑みると今回のケースは認証は不要で認可ができればいいのでしょうか?
・Basic認証
・クライアント証明書による認証
・独自のトークン払い出し
・Oauth
などなど様々な方法で実現はできそうなのですが、
この当たりをどのように考えたらよいのか、ご教示いただけますと幸いです。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。