マルチクライアント アプリケーションを開発しました。つまり、ビジネス ロジックはサーバー側にあり、インターフェイスは REST API を介して公開され、モバイル/Web クライアントは API を使用します。
このアプリケーションでは、さまざまなユーザーがサインアップ/ログインして、ユーザー固有のデータを取得できます。http ダイジェスト ベースの認証とトークン メカニズムを使用して、ユーザーの状態を追跡します。
ただし、API へのアクセスを制限したいと考えています。つまり、登録済みのモバイル/Web クライアントのみが API にアクセスできるようにします。そこで、認証の第 2 層を導入し、サービス層認証と名付けました。ユーザー認証で行ったのと同じように、カスタム トークン ベースのシステムを使用しています。モバイル クライアントの全体的なフローは十分ですが、Web クライアントの場合は問題があります。ユーザー資格情報を Javascript に埋め込むと、誰でもそれらの資格情報を抽出して API を使用できます。
要約すると、必要なのは、ajax 呼び出し時に JavaScript ベースの Web クライアントを識別/認証することだけです。
PS 明確にするために、web-client とは、ブラウザーではなく Web アプリケーションを意味します。