Я создаю свой собственный API для системы статистики игр (на PHP).
И я хочу, чтобы пользователи могли войти в систему из своей игры.
По сути, игра сделана с использованием GM: HTML5 (GameMaker для HTML5), что означает, что она только запутана, но все же читаема любым отладчиком JavaScript.
Чтобы это работало, пользователи должны будут включить библиотеку PHP, которая будет подключаться к моей системе API.
Но я хочу ограничить доступ с помощью API-ключей.
Если я отправлю ключ API вместе с запросом, он будет виден (например, с помощью консоли разработчика Firefox). И с этим ключом API любой может «войти» и отправить статистические данные.
То, что я хотел бы сделать, это отправить домен, где находится игра, в зашифрованном виде с запросом на вход. (Просто простой запрос GET к серверу из моей библиотеки PHP). Затем сервер должен будет расшифровать эту строку (зашифрованный домен / IP) и проверить, соответствует ли она ключу API, который также был отправлен с запросом.
Но я хотел бы знать, насколько это безопасно на самом деле.
А если небезопасно, что будет лучше?