У меня есть некоторые конечные точки Web API, к которым я хотел бы гарантировать доступ только наших приложений \ кода.
Мы внедрили систему аутентификации на основе токенов. Проблема в том, что кто-то может потенциально проверить трафик с рабочего стола, вытащить токены и вызвать скрипты для наших конечных точек с помощью токена.
По сути, я хочу гарантировать, что вызовы API поступают только из нашего клиентского кода. Я думал о возможном шифровании токена на стороне клиента, а затем расшифровывании на стороне сервера для проверки источника, но, поскольку наш клиентский код JavaScript можно проверить, метод шифрования потенциально может быть воспроизведен.
Я уверен, что есть готовые решения ... Я просто не знаю, с чего начать. Есть идеи?