标签: php api security http
我目前正在构建一个shopify应用程序,我也在它旁边构建了一个API。我想以某种方式确保只有某些网站可以访问API。我正在考虑检查原点或引用,但这些很容易在HTTP请求中伪造。我还考虑过为每个网站提供某种访问令牌,但是他们可以将其发送到其他网站然后使用API吗?
所以我的问题是,检查请求来自何处的最安全的方法是什么?