我理解Oauth的授权流程是如何工作的,但是在某种程度上可以授权我访问我的端点API而无需用户登录?所以我要做的就是限制对我的API的访问,这样只有我允许的某些网站才能访问它而不能访问其他网站。
在Google API控制台中,我创建了一个“Web应用程序的客户端ID”。
答案 0 :(得分:1)
在您描述的用例中,首选解决方案 以使用OAuth。在遵循文档中的示例中,您将限制网站(通过API控制台中获得的密钥的“JavaScript起源”值)。
原点中未列出的网站将无法显示所需的身份验证提示(在Google提供令牌之前会检查客户端ID和来源)。开发人员将无法使用其首选的JavaScript源创建自己的客户端ID,因为您的后端将检查请求的客户端ID是否属于代码中的白名单。