Я новичок в программировании / разработке / API, поэтому прости меня, если я неправильно использую любую терминологию.
Я создаю простое веб-приложение (с JS), которое получает данные от сторонних разработчиков.API.Стороннему API требуется токен доступа для выполнения всех вызовов.
Существует несколько различных способов получения токена, но в соответствии с документацией API (и тем, чем я занимался).читая о токенах), я должен использовать тип Implicit Grant, чтобы получить токен, который требует от пользователя повторной аутентификации каждый час (или при следующем входе в систему).
Я храню AccessТокен в локальном хранилище всякий раз, когда я его получаю и использую для соответствующих вызовов API.
Теоретически, веб-приложение просто должно записывать данные аутентифицированного пользователя (полученные изAPI) на страницу.Область действия токена строго ограничена свойством owner_read .(См. Конкретный вызов с разрешением в Документах API здесь .)
Проблема, с которой я столкнулся, заключается в том, что я понял, что созданный маркер доступа может использоваться злонамеренно.Токен, сгенерированный с областью действия owner_read , также может использоваться для вызова сервера и получения данных о каждом клиенте в базе данных.(См. Конкретный вызов в документации API здесь .)
Это касается - я не хочу, чтобы пользователь мог получить токен доступа, предназначенный для первоначального показа только одного пользователяинформация (человек, который находится в веб-приложении) и звонит на сервер и получает ВСЕ пользовательские данные.
Мой вопрос: поскольку я больше не могу ограничивать свою область действия, как я могу предотвратить использование токенав других звонках?