Например, посмотрите этот плагин Facebook .
На стороне клиента ключ API четко виден.Что мешает другому пользователю получить этот ключ и использовать эту функцию на другом сайте?
Я подумал, что очень наивной реализацией будет проверка домена, из которого исходит запрос, но подобные вещи легко подделать.
Если бы мне пришлось создать что-то подобное, как бы я обеспечил безопасность процесса аутентификации?
Я хочу, чтобы как можно больше этой работы выполнялась на стороне клиента, хотя определенно потребуется какая-то форма аутентификации сервера? Будем признательны за любые ссылки или советы.
Обновление
Аналогичный вопрос о ключах API, которые я нашел полезными.