У меня есть веб-API, которому я хочу разрешить любому домену отправлять данные. Однако, чтобы подавить фиктивный спам, я хочу найти какой-то способ убедиться, что запрос с указанием определенного домена на самом деле принадлежит этому домену и что кто-то не пытается обмануть меня, публикуя на других доменах имя.
Например, если http://example.com предоставляет некоторые данные - это хорошо. Если скрипт kiddie # 237 отправляет данные, претендующие на то, чтобы быть example.com - это плохо.
Сначала я собирался использовать систему секретных ключей, чтобы HMAC подписывал каждый запрос, но регистрация будет открытой, бесплатной и автоматизированной для этого API. Я не уверен, как определить, действительно ли PersonA или PersonB владеет http://example.com и заслуживает ли он ключа API.