Итак, у меня есть экземпляр флеш-сервера.У меня есть простая настройка для аутентификации.Клиенты отправляют @key=my_secret_apikey в вызове API, и я выполняю проверку на сервере.
У меня минимальные знания интерфейса.У меня есть веб-сайт, который вызывает эту конечную точку, которая требует аутентификации.Если я вставлю ключ API my_secret_apikey на сайт, он будет виден всем в разделе сценариев, который предоставляет ключ для общего доступа.
Как сделать аутентифицированные вызовы API с веб-сайта на сервер API без демонстрации ключа API?
Моя текущая настройка: иметь ключ API только для веб-сайта и во время аутентификации, если я получу этот ключ API, который я использовал на сайте, я проверю request.environ.get("HTTP_ORIGIN"), который возвращает https://www.my_site.com, и если он совпадаетмой сайт отправит ответ или аутентификация не удалась.
Есть ли лучший способ сделать всю эту аутентификацию и использовать ключ API?