Tieni presente che la mia risposta si basa su ipotesi. Se modifichi la tua domanda per chiarire fammelo sapere e aggiornerò la mia risposta.
Dal tuo diagramma
server.com (web server) —> HTTP JSON API request —> dataStore.net (data server).
sembra che tu stia connettendo a datastore.net
dal tuo server.
Tuttavia, quando si parla di CORS, ho l'impressione che i seguenti diagrammi siano più precisi:
user —> HTTP request —> server.com
user -> HTTP JSON API request —> datastore.net
Authentication would be needed just for accessing dataStore.net.
Questa affermazione aggiunge ulteriore importanza alla mia ipotesi.
Se questo è il caso, l'autenticazione deve avvenire su datastore.net
(non server.com
). Solo le richieste autenticate dovrebbero poter accedere ai dati su datastore.net
. Si dice anche che non si desidera che gli utenti si registrino. Se vuoi proteggere i tuoi dati su datastore.net
, devi solo consentire agli utenti autenticati di connettersi, motivo per cui la registrazione è effettivamente necessaria.
L'altra opzione è consentire solo a server.com
di comunicare con datastore.net
(primo diagramma) - cioè l'accesso lato server all'API. Ciò significa che datastore.net
è effettivamente un server back-end e non è necessario che sia visibile su Internet (per il traffico in entrata diverso da server.com
).