私は現在、単一ページの Web アプリケーションに取り組んでいます。Web アプリは、認証とデータ ストレージのために REST に似た API を呼び出します。私たちは現在、アプリケーションを保護している最中であり、登録ユーザーのみがアクセスできるようにサイトを保護する戦略を練っています. しかし、私たちがやりたいことの 1 つは、API を他の人から保護して独自のアプリケーションを作成したり、Web アプリケーション以外の方法で API にアクセスしたりすることです。私が考える問題は、API が私の Web アプリケーションだけでなく、すべての人に開かれることです。
これを行う方法を知っている人、または私を正しい方向に向けることができる人。今のところ、手がかりがないからです。
証明書と検証の使用を検討していますか?
クライアントのセッションが承認されている場合にのみ、API にアクセスできるようにする必要があります。それはあなたができることのほとんどです。
クライアント側とサーバー側の暗号化を使用したり、非常に基本的なものを使用したりする複雑なアプローチがあります。つまり、リクエストごとにユーザーを再度検証するシークレットを Web ページにレンダリングします。元のリクエストの送信元であるヘッダーを確認できます。等々...
しかし、そのほとんどはユーザーのブラウザで公開されているため、誰でもそれを読んでサードパーティのアプリに採用することができます.
だから、あなた自身と、サードパーティのアプリを本当にやりたいと思っている人々を救い、公開APIを提供してください:)