Защита API для веб-сайта Frontend

Question

Наши API (поставляемые третьим лицом) используют токены для обеспечения только разрешенного доступа. Наш новый веб-сайт не должен быть сервером-сервером, а главным образом интерфейсом, т. Е. Токен будет виден в скрипте. Теперь мы проверяем, как защитить API для веб-сайта frontend, и я должен предлагать способы своему боссу. Тем не менее, мне никогда не приходилось что-то делать с поддержкой API, не могли бы вы помочь мне, сообщив мне, где читать/предлагать современные решения?

Я уже начал изучать OAuth1a, OAuth2, OpenID, но не могу (пока) действительно получить направление для дальнейшего изучения.

Answer 1

Вы все равно должны использовать токен, но вы должны убедиться, что токен не предоставляет вам полный доступ к API.

Токены должны быть конкретными для пользователя, использующего приложение, и токен может предоставлять только API доступ к определенным функциям, которые пользователю разрешено делать.

На данный момент я бы проигнорировал OAuth1 и OpenID и только посмотреть на OAuth2. Там достаточно возможностей, чтобы делать то, что вы хотите, и это проще, чем остальные.