我的目标是为浏览器客户端应用程序实现一种无需指定用户和密码凭据即可安全访问我的REST API的方法。
我有一个简单的REST接口,可以为其他各种应用程序提供信息。都是交叉起源的。绝对不涉及用户管理。这也不是问题的重点。
问题是,任何人都可以访问我的应用程序,但是我只希望某些客户端应用程序能够执行此操作。我知道我可以通过使用基于令牌的方法和特定于应用程序的秘密来解决此问题。但是,对我而言,将机密存储在JavaScript或浏览器存储中似乎并不安全。
JS应用程序是否可以针对REST接口安全地进行身份验证?