我对您进行API调用时生成的身份验证过程有疑问。我刚刚使用JWT创建了REST API,以允许不同的网站访问我的后端系统。
问题如下:
网站1使用我赋予该网站的user1 / pass1对我的API进行了初始GET调用(user1 / pass1是嵌入在javascript website1中的代码)
网站21使用我提供给该网站的user2 / pass2对我的API进行了初始GET调用(user2 / pass2是嵌入在JavaScript网站2中的代码)
如果我使用代码编写用户/密码,那么任何人都可以看到website1和website2的源代码,并生成对我的API的新调用,以模拟是真实的网站。
哪个是解决此问题的最佳方法?