#node.js #security #authentication
Вопрос:
У меня есть виджет, который пользователи интегрируют на своем веб-сайте, и запрос от виджета поступает на наш сервер NodeJS. Я хочу реализовать механизм аутентификации, чтобы я проверял эти запросы, а затем только обрабатывал их.
Токен PS — JWT не будет полезен, так как любой может проверить вкладку «Сеть» и отправлять запросы с помощью почтальона или любого клиента API
Комментарии:
1. Вы пользовались картами Google? Google предоставляет виджет, который вы можете разместить на своем сайте, но вам необходимо инициализировать его с помощью ключа API. Ключ API хорош только на определенном сайте (origin). Это не мешает клиентам напрямую обращаться к API, но это не позволяет клиенту A украсть виджет непосредственно с сайта клиента B и скопировать его на свой собственный.
2. да, именно поэтому я хочу сделать что-то, чтобы пользователи этого веб-сайта не общались напрямую с API, проверяя сетевые вкладки и выполняя запросы с помощью клиента API.