フロントエンドWebサイト用のAPIの保護

Question

API（第三者配信）は、認証されたアクセスのみを保証するためにトークンを使用しています。私たちの新しいウェブサイトはサーバーからサーバーへのものではなく、主にフロントエンドでなければなりません。つまり、トークンはスクリプト内に表示されます。フロントエンドのWebサイトのAPIを確保する方法を確認しています。私は上司に方法を提案しなければなりません。しかし、私はAPIのセキュリティで何かをする必要はありませんでした、あなたは私に教えてくれますか？

私は既にOAuth1a、OAuth2、OpenIDを調べ始めていますが、実際にはさらに調査する方向はまだありません。

Answer 1

トークンを使用する必要がありますが、トークンがAPIへのフルアクセスを許可していないことを確認する必要があります。

トークンは、アプリケーションを使用しているユーザーに固有である必要があり、トークンは、ユーザーが許可されている特定の機能に対してのみAPIアクセスを許可できます。

今のところ私はOAuth1とOpenIDを無視し、のみ OAuth2を見てください。あなたが望むことをするのに十分な機能があり、それは他のものより簡単です。