Sto lavorando su un piccolo servizio Web che fornisce alcune funzionalità che possono essere incorporate in una pagina Web con un iframe. Poiché si tratta di un servizio basato su abbonamento, mi piacerebbe essere in grado di gestire chi può e non può accedere alle funzionalità in questione tramite le chiavi API.
La mia comprensione è che un approccio popolare è incorporare una chiave API nella risorsa, ad esempio:
<iframe src='http://service.com/API_KEY_GOES_HERE/' height='750' width='640'>
Quando il server riceve una richiesta dal client, fa una ricerca sul referrer per assicurarsi che il sito che richiede la risorsa sia autorizzato ad accedervi.
La mia domanda è la seguente: i riferimenti non possono essere falsificati e questo non renderebbe banale l'aggiramento di questo sistema? Cosa mi manca?