Sono abbastanza nuovo nella creazione di servizi usando PHP-cURL. Voglio offrire alcuni dati / servizi solo ai domini registrati. So che posso identificare questi domini usando l'ID app e le chiavi API per la crittografia dei dati.
Tuttavia, stavo pensando a diversi tipi di minacce. Cosa succede se alcuni dei miei clienti danno le loro credenziali ad un altro dominio? Come posso convalidare il dominio del chiamante (o qualsiasi altra soluzione) in modo che le credenziali vengano utilizzate solo da quel dominio? Ho davvero provato a rilevare il nome esatto del dominio che chiama il mio servizio, ma fallisco ogni volta, perché chiunque può impostare un nome di dominio falso nell'intestazione. Stavo pensando di usare l'IP, ma sarebbe una soluzione davvero complessa.
Inoltre, non voglio limitare le chiamate. Voglio solo essere sicuro di quale dominio sto dando dati.