Quindi ho una pagina web che esegue un'applicazione JavaScript e un servizio web a cui l'applicazione fa richieste HTTP PUT. Il servizio utilizza i token di accesso per verificare l'identità dell'utente, ma ora mi sto grattando la testa su come impedire agli utenti autorizzati di utilizzare l'API in modo inappropriato. Cioè cosa impedisce a un utente malintenzionato di ispezionare semplicemente il traffico in uscita nel proprio browser, copiare l'URL del servizio e il relativo token di accesso e utilizzarlo per invadere le chiamate contro il servizio?
Esiste un modo standard per prevenire questo tipo di abuso? Ho pensato che sarei stato in grado di nascondere o crittografare i token dell'utente in modo che non potessero vederli, ma non sembra possibile.
Cheers!