RESTful apiを呼び出すときに、httpリクエストヘッダーにapiトークンを置くことは安全ですか？例：Uber reminder api

Question

uber RESTful APIを使用してリマインダを送信することができます。 "ローカルAMCの映画"、Uberアプリのユーザーに。 APIドキュメントはhereです。

POST/V1/

をリマインダしかし、あなたは認証のためのHTTPリクエストヘッダに（彼らはサーバートークンそれを呼び出す）トークンを配置する必要があります。ドキュメントはhereです。

curl -H 'Authorization: Token YOUR_SERVER_TOKEN' \ 
'https://api.uber.com/v1/products?latitude=37.7759792&longitude=-122.41823' 

ユーザーはchrome devツールを使用してトークンを確認できます。私の質問は次のとおりです。

フロントエンドから送信されるhttpリクエストヘッダーにアプリケーショントークンを入れるのは安全ですか？どうして？ Javascriptを使用してサーバーまたはブラウザでアラームを呼び出す必要がありますか？

Answer 1

Developer Dashboard（以下のスクリーンショット）で新しいサーバートークンを削除して生成することはできますが、サーバートークンを公開することはできません（フロントエンドのJS変数など）。このトークンを使用すると、リマインダーを作成、検索、更新、および削除することができます。

さらに、サーバーのトークンがあなたに代わって見積もり（price & time）とユーバーproductsを取得するために使用することができます。これは重要ではないと思われるかもしれませんが、アプリケーションのrate limiting（1時間あたり2000リクエスト）に影響する可能性があります。サーバートークンが間違っていると、アプリケーションがUber APIと定期的に通信できなくなる可能性があります。

これはサーバー側で実装することを強くお勧めします。