Я хотел бы подтвердить, что клиент - это тот, кем он себя считает. Например, facebook.com использует мой API, я хотел бы убедиться, что это действительно Facebook. Кроме того, я хотел бы иметь белый список доменов, которые могут обращаться к моему API, так что если microsoft.com попытается использовать мой API, они будут отклонены, поскольку их нет в моем белом списке.
Я видел этот пример о том, как сделать взаимную аутентификацию, но я не вижу, как ввести белый список, и я также не уверен, как я могу включить это с экспресс