Ho un'API (Java + Play Framework). Ho un sito web (React) che deve comunicare con l'API. Non voglio che la mia API venga chiamata da qualcosa tranne il mio sito web.
Come posso fare?
Non puoi.
Se è disponibile su Internet pubblica, chiunque può chiamare quel servizio.
Se hai bisogno che il pubblico utilizzi la tua applicazione, allora parte di essa deve essere su Internet pubblica e hai bisogno dell'autenticazione .
È così che funziona Internet.
Ed è anche il motivo per cui gli attacchi Distributed Denial of Service funzionano.
La tua unica difesa è quella di implementare la tua applicazione su una rete di cloud computing in modo che un attacco DDOS stia colpendo più server farm in più posizioni geografiche, riducendo le interruzioni di servizio in un'area geografica, o semplicemente rallentando le cose dal attacco distribuito è perpetrato contro un'applicazione distribuita.
Leggi altre domande sui tag java api javascript web-services react