Контекст: Мы размещаем интернет-магазин, который должен отслеживать поведение клиентов. Для этого мы интегрировали несколько событий отслеживания, основанных на пути покупателя в нашем магазине. В соответствии с требованиями GDPR в Европе мы вынуждены отправлять события отслеживания в инфраструктуру, контролируемую нами как компанией. Отправка данных через Диспетчер тегов Google Analytics напрямую на серверы Google запрещена законом GDPR. Примечание: чтобы упростить этот вопрос, я намеренно опущу все, что касается управления согласием пользователей.
Описание проблемы: Нам необходимо, чтобы каждый клиент отправлял каждое событие отслеживания непосредственно из браузера Конечная точка Pub / Sub. Теперь мой вопрос в том, как будет выглядеть лучший способ обеспечения надлежащей безопасности.
Текущее предложение: Конечная точка Pub / Sub не требует аутентификации -> Все пользователи были предоставлены Разрешение Pub / Sub Publisher. Кроме того, я создал API-KEY, который ограничен
- только Pub / Sub API
- , чтобы указать c HTTP-рефереры (в основном домен, которым управляет наш интернет-магазин)
Можно ли применить другие стратегии? Является ли текущее предложение действительным (иначе безопасным) способом получения go?