Mi jedynie przychodzi na myśl: podejście o tworzenia kodu, w sensie ... już na podstawie projektowania API
- trzymanie się dobrych praktyk poziomu kodu i zapytań
- odpowiedniego hashowania kluczy, metod wymiennych i sposobów na szyfrowanie
- generalnie podejście do projektowania samej BAZY DANYCH żeby odpowiednio ustawiać constraint, zabezpieczenia wartości domyślnych, modyfikacji czy ograniczania swobodnego dostępu
- pomysł na zabezpieczanie projekcji danych przesyłanych czy to w sesji, czy po prostu pomiędzy end-pointami, np korzystać z Value objectów, kosztem nie przesyłania wrażliwych danych o ile nie są konieczne, a ograniczenie się tylko do tych potrzebnych warstwie prezentacji
Filtrowanie routingu ? Może ten temat, dodatkowo problem decyzji : JWT VS COOKIE SESSION NP? no Niestety problem z tokenami jest taki że i tak kończy się na :D tworzeniu "pewnego rodzaju ciasteczek"
I tutaj pytanie czy OUTH - proces autoryzacji nie jest lepszy niz samo JWT< albo coś pokroju połączenia, dodatkowo warto jest przemyśleć, aby odpowiednie endopointy ograniczał się do niewielkich operacji, a nie np z użyciem jednego endpointu, metodą POST robić tzw SIDE EFFECT, funkcje i w ogóle operacje powinny być jak najbardziej to możliwe pure.