У меня есть продукт, который состоит из REST API и трех клиентов. Есть некоторые сторонние клиенты, которые злоупотребляют API, выдавая себя за авторизованных пользователей.
Как я могу потребовать от клиента подтверждения его подлинности?
Я думал об отправке некоторого хэша текущего времени и секретного ключа в каждом запросе. Если сервер может реплицировать хеш, то клиент настоящий.
Однако один из реальных клиентов - это угловое приложение. Это означает, что я должен отправить секретный ключ в браузер. Конечно, я могу запутать JS, но это легко изменить.
Есть мысли?