Я использую API, который включает в свою документацию следующее:
Мы поддерживаем совместное использование ресурсов из разных источников, что позволяет вам безопасно взаимодействовать с нашим API из клиентского веб-приложения (хотя вы никогда не должны раскрывать свой секретный ключ API в клиентском коде любого общедоступного веб-сайта).
Возможно ли сделать запрос из публичного клиентского кода безсекретный ключ API? Как мне это сделать?
Для справки, запрос выглядит так:
curl -H "Content Type: application/json" -H "Authorization: Token XXXX" https://api.example.com/endpoint
Я не понимаю, как можно было бы сделать запрос CORS от клиента, не выставляяключ API XXXX?
Означает ли их документация, что они поддерживают совместное использование ресурсов из разных источников, но только для непубличных веб-сайтов?