标签: javascript rest http cryptography
我有一个由REST API和三个客户端组成的产品。有些第三方客户端冒充授权用户滥用API。
我如何要求客户证明它是“真实的”?
我已经考虑过在每个请求中发送一些当前时间的哈希值和一个秘密密钥。如果服务器可以复制哈希,则客户端是真实的。
但是,真正的客户之一是angular 6应用程序。这意味着我必须将密钥发送到浏览器。当然,我可以混淆JS,但这很容易逆转。
有什么想法吗?