Ваш веб-сервер будет обслуживать виджеты с помощью запроса GET и будет ожидать передачи параметра key=xyz.Ваш сервер проверит правильность ключа перед возвратом ответа виджета.
Проблема в том, что клиент должен будет отправить ключ из JavaScript на клиентской машине .Поэтому все клиенты вашего клиента будут знать ключ клиента.Это означает, что неразумно ожидать, что ваши клиенты хранят свои ключи в секрете.
Я считаю, что Карты Google связывают каждый ключ с доменом.Если вы встраиваете виджеты в iframe, у вас должна быть возможность проверить заголовок Referer , чтобы убедиться, что этот запрос действительно поступает с веб-сайта клиента, а не с какого-либо другого веб-сайта, который украл ключ клиента.
Это кажется довольно безопасным (любой другой веб-сайт не сможет разместить ваши виджеты без оплаты ключа).Единственный оставшийся вопрос: для чего вообще нужен ключ?Почему бы просто не использовать Referer для аутентификации сайтов, которым разрешен доступ к виджетам, и не заставлять их проходить через трудности с предоставлением ключа.Я не могу придумать причину, по которой это необходимо.Возможно, кто-то может подумать об этом в комментариях.