Sto scrivendo un plug-in javascript che verrà installato dai blogger/proprietari di siti web. Comunicherà con la mia API remota.Protezione di un'API per l'uso con il widget Javascript
Mi chiedo come proteggere l'API per garantire che solo i domini di proprietà degli utenti che hanno registrato un account con il servizio possano accedere alle risorse dall'API. Ho letto su OAuth2 e capisco le basi, ma poiché il plug-in verrà eseguito dal browser e non da un server all'altro, non sono sicuro di quanto possa essere sicuro.
Tonnellate di servizi come mixpanel, google analytics, olark usano lo stesso concetto (cioè il proprietario del sito Web installa una linea di JS sul loro sito) quindi deve essere un problema risolto.
Che cosa stai cercando di prevenire esattamente? – SLaks
Cercando di impedire alle persone di accedere ai dati a cui non dovrebbero avere accesso, ad es. accedendo ai dati google analytics di un sito che non possiedo o controllo. Google lo fa, ma come? usando OAuth? – cjroebuck
No; Google non lo fa. Lo script di Google Analytics non consente l'accesso a nessun dato. – SLaks