Имеется система (ASP.NET MVC), состоящая из вебформы, которая из своих контроллеров стучится в фасад WebAPI для обработки бизнес логики (т.е. WebAPI находится внутри сети). Требуется обеспечить защиту. Достаточно-ли такого подхода:
1) Сертификат, т.е. WebAPI позволяет подключится контроллеру вебформы только если тот имеет сертификат (дополнительно можно проставить ip адрес)
2) Контроллеры вместе с запросом посылают фасаду токены с клеймами, которые содержат id подключившегося пользователя и его роль. Теперь в фильтре метода WebAPI я смогу проконтролировать что пользователь принадлежит к нужной роли, а далее информация которую будем брать из базы будет отфильтровываться по его id. Например если пользователь с ролью "Владелец Кредитной Карты" хочет получить список транзакций по своей карте, то во-первых будет проконтролировано что он принадлежит этой роли, а транзакции отфильтруются по его id.
Достаточно-ли этого, или требуется что-то еще согласно OWASP top 10?