我为我的客户构建API,用于发送有关其请求的数据
客户将通过javascript进行整合,他们会获得公钥和私钥,他们会使用这些密钥进行调用,并通过此方式授权他们的帐户并将数据处理到他们的帐户。
问题是,由于客户使用JS,其他人可以看到最新消息,可以了解该客户的公钥和私钥,并可以通过API尝试垃圾邮件信息。
我添加了来自推荐人域名的验证,所以我要说我的客户购买我的产品以在domain-a.com上使用,我验证每个请求并仅在来自domain-a.com时提供服务但我才知道在CURL中可以更改referrer,因此来自domain-b.com的任何黑客都可以通过屏蔽引用来调用API,因此它们实际上是从domain-b.com进行调用但是将referrer作为domain-a.com发送,这是我的系统无法识别真实用户的情况。
解决这些问题的任何想法?