Это, вероятно, общий секретный вопрос, но я подумал, что спрошу в области того, что я разрабатываю.
Сценарий следующий: веб-служба (WCF Web Api), которая использует ключ API для проверки и определения пользователя, а также сочетание jQuery и приложения на интерфейсных модулях.
Вкл. с одной стороны, трафик может быть https, поэтому его нельзя проверить, но если я использую один и тот же ключ для каждого пользователя (скажем, guid), и я использую его в обоих, то есть шанс, что его можно будет использовать, и кто-то может выдать себя за пользователь.
Если я реализую что-то вроде OAuth, тогда будет сгенерирован пользователь и ключ для каждого приложения, и это может сработать - но все же для стороны jQuery мне понадобится ключ API приложения в javascript.
Это было бы проблемой только в том случае, если бы кто-то был на реальном компьютере и выполнял просмотр исходного кода.
Что мне делать?
Я уверен, что это, вероятно, обычная проблема - поэтому любые указатели будут приветствоваться.
Чтобы сделать это более понятным - это мой API, который я написал, что я запрашиваю, а не Google и т. Д. Так что я могу делать токены для сеансов и т. Д. Я просто пытаюсь найти лучший способ защитить токены на стороне клиента / keys, которые я бы использовал.
Я здесь слишком осторожен, но просто использую это для обучения.