在过去的几年中,客户端(浏览器)应用程序的趋势确实起飞了。
对于我的最新项目,我决定尝试与时俱进,并编写一个客户端应用程序。
此应用程序的一部分涉及向用户发送交易电子邮件(例如,验证注册,密码重置电子邮件等)。我正在使用第三方API发送电子邮件。
通常,我会让我的应用程序在服务器上运行。我会从服务器上的代码中调用第三方API。
运行客户端应用程序意味着这现在需要在用户的浏览器上进行。第三方API提供了实现此目的所需的JavaScript文件。
我看到的第一个明显问题是我需要使用API密钥。通常,这通常可以安全地存储在我的服务器上,但是现在大概需要将这个密钥提供给客户端浏览器。
假设我可以解决这个问题,那么下一个问题就是阻止精通技术的用户在浏览器上加载JavaScript开发人员工具并以他们喜欢的方式使用电子邮件API,而不是坚持我在应用程序中设置的任何规则。
我想我的一般问题是-我们如何防止恶意使用客户端应用程序?