我和一个朋友正在使用Web前端构建API。 Web通过Ajax请求利用API与后端进行交互。对于不使用该网站的用户,我们希望提供有限的API访问权限(您必须支付一定费用才能使用该API),但是可以完全无限制地访问该网站上的任何人。
现在是问题:我们正在努力确定哪个API调用来自何处。由于网站使用JavaScript进行通话,因此请求似乎来自用户的IP。我们考虑过为每个调用使用唯一的令牌或对调用进行签名,但是JavaScript会公开两种情况下使用的方法和键。
我们强调安全性,因此我们正在寻求可靠的解决方案。
提前感谢!