В принципе, нет пуленепробиваемого способа сделать это.
- Расширения Chrome являются клиентскими и снабжены отличным отладчиком. Любой секретный секрет между вашим API и расширением открыт для извлечения из работающего кода.
- В Chrome не включены никакие идентификационные заголовки для запросов на добавление, но даже если это возможно, вы можете выдавать себя за расширение путем репликации заголовков и/или захвата идентификатора расширения.
В то время как вы можете сделать жизнь трудной для людей, которые пытаются подражать тому, как ваше расширение запрашивает API, в конечном итоге его не так сложно захватить и воспроизвести.
Итак, обнимите идею, что вы cannot trust the client.
Один из способов приблизиться к этому - потребовать учетные записи пользователей и обеспечить соблюдение квот на этих учетных записях. Вы: можете создать и создать учетные записи на вашем конце.
Спасибо за ссылку, вы думаете, что использование captcha сделает взломать бэкэнд сильнее? –