Sto sviluppando un servizio con un'API REST associata per i clienti (aziende che hanno i propri siti Web) da utilizzare. In altre parole, uno dei miei clienti tipicamente effettuava la chiamata REST direttamente dal proprio sito Web (ovvero la richiesta proviene da uno dei loro browser del cliente).
Naturalmente posso fornire un token di accesso per consentire l'accesso ai miei clienti, ma per definizione dovrà essere pubblicato pubblicamente sul loro sito, il che significa che chiunque potrebbe accedervi.
La situazione sembra analoga all'utilizzo delle chiavi dell'API di Google Maps, ad esempio. A meno che non mi sbagli, se incorporo una mappa sulla mia pagina, la mia chiave API deve essere pubblica. Per quanto ne so, le uniche protezioni contro altre persone che usano la mia chiave sono che posso limitare le richieste (con Google) a determinati domini.
Questa è l'unica cosa che posso fare per limitare l'accesso ai miei clienti? È possibile per un non cliente spoofare il proprio dominio di riferimento? In tal caso, le persone lo fanno per utilizzare altre chiavi dell'API di Google?