Ho un'API e un'applicazione web in cui gli utenti possono accedere tramite un altro sistema e quindi inviare messaggi di testo alla mia applicazione, per esempio.
Come posso assicurare che quando questi dati vengono inviati solo alla mia applicazione e non inviati ad altri siti web?
Se leggo correttamente la domanda, per farla breve non è possibile.
I dati vengono inseriti in un sistema sotto il controllo di qualcun altro. Qualsiasi misura tu possa prendere per garantire che i dati ti vengano inviati può essere elusa dall'altra parte.
Puoi dare qualche informazione in più su cosa stai cercando di prevenire? La situazione non sembra ancora molto chiara. Sembra che tu abbia alcune API di back-end e un'applicazione front-end che utilizza l'API. Inoltre, si desidera poter effettuare il login da qualche altro sistema.
Se vuoi assicurarti che i dati della tua applicazione possano essere inviati solo alla tua API, allora hai bisogno che l'applicazione esponga una callback per il login e poi fai in modo che l'applicazione trasmetta queste informazioni alla tua API o, alternativamente, potresti fornire un'API di autenticazione che il login potrebbe utilizzare. In questo caso, la tua Applicazione avrebbe bisogno di produrre una sfida di autenticazione associata alla sua attività corrente, la quale sarebbe poi inviata al servizio di login per essere verificata. Quando il servizio di login restituisce l'autenticazione all'API, sarà in grado di richiamare l'applicazione e consentire la transazione tra l'applicazione e l'API.
Non sono sicuro se questo aiuta dal momento che la domanda è difficile da capire. Posso aggiornare la mia risposta se è possibile fornire ulteriori dettagli.
Leggi altre domande sui tag web-application confidentiality integrity