Я и друг создаем API с помощью веб-интерфейса. Веб использует API через Ajax запросов для взаимодействия с серверной частью. Мы хотели бы предложить ограниченный доступ к API для людей, не использующих веб-сайт (вы должны заплатить плату за использование API), но полный неограниченный доступ для всех на веб-сайте.
Теперь проблема: мы пытаемся определить, откуда и откуда поступает вызов API. Поскольку веб-сайт использует JavaScript для вызовов, запрос, похоже, приходит с IP-адреса пользователя. Мы подумали об использовании уникальных токенов для каждого вызова или подписании вызовов, но JavaScript предоставит методы и ключи, используемые в обоих случаях.
Мы делаем упор на безопасность, поэтому мы ищем надежное решение.
Заранее спасибо!