使用主令牌进行API调用-我是否总是需要中介人

Question

一个常见的网络问题，说我想进行API调用以执行诸如更新用户地址之类的事情。

API在其请求中需要一个秘密令牌（主令牌）。因此，自然地我无法将其发送到我的JS代码中，因为任何人都可以轻松查看代码或仅查看请求标头。

因此，通常情况下，此类情况会在以下步骤中处理（以要更新用户电子邮件的情况为例）：

• 在客户端（请求方）-生成某种独特的签名
• 然后，客户端将请求更新其电子邮件以及该签名的请求发送给中介（服务器端）
• 该中介机构先验证签名，然后使用主令牌进行实际的API调用

我想不出其他任何方式-还是有某种方式可以避免中介验证客户？但是即使这样，主令牌仍会以某种方式驻留在客户端上？

任何想法表示赞赏。

谢谢。