Я использую Apigee в качестве прокси для частного REST API, который позволяет выполнять основные операции CRUD в моей базе данных. Разработчик переднего плана хочет вызвать мой API напрямую из JavaScript/Ajax, поэтому я не могу использовать базовую аутентификацию API-ключа, потому что любой может просмотреть источник JS и вызвать потенциально разрушительные методы в моем API (я не в сети политики в браузерах, но это не помешает кому-то делать завиток и вызывать мой API за пределами браузера).Как защитить API, который используется в клиенте JavaScript/Ajax [apigee]?
Каков наилучший подход? Может ли пользователь UI каким-то образом использовать OAUTH для получения токена доступа для каждого сеанса после аутентификации пользователя и использования его в своих вызовах Ajax? Но даже тогда, не мог ли этот пользователь просмотреть источник JS и сделать что-то противное через завиток?
Заранее благодарен!
Все, что может сделать браузер, пользователь может также сделать. – SLaks