Il titolo della domanda è ... brutto per non dire altro. Ecco una panoramica di ciò che ho:
- Lavoro su uno strumento online. I dati vengono inviati ad esso, elabora i dati (un'attività intensiva) e restituisce i risultati.
- Lo strumento viene venduto alle organizzazioni che desiderano includere la funzionalità nei loro siti web e applicazioni pubblici per i loro clienti. Lo strumento rimane sui nostri server (nessun client ha accesso al codice o ai binari)
- Ho bisogno di bloccare le organizzazioni non autorizzate che utilizzano lo strumento nei loro siti e app.
All'interno di un browser, l'autorizzazione è semplice; Semplicemente controllo l'intestazione ORIGIN quando le richieste sono fatte e tutto va bene (i singoli utenti che hanno hackerato le loro intestazioni non sono importanti).
Nelle app è una storia diversa. Innanzitutto, devo impedire alle applicazioni di utilizzare semplicemente l'interfaccia del browser (o piuttosto, rendere l'interfaccia del browser uguale all'interfaccia dell'app), quindi ho bisogno di usare chiavi o simili per autorizzare i client consentiti.
Mi rendo conto che indipendentemente dall'autorizzazione che ho inserito nelle app, può sempre essere compromessa perché sono pubbliche, ma questa non può essere una situazione unica, quindi mi chiedo quali soluzioni siano già state sviluppate. (Dal momento che ho una conoscenza limitata della terminologia di sicurezza è difficile da cercare!)