Negli ultimi anni, la tendenza per le applicazioni lato client (browser) è davvero decollata.
Per il mio ultimo progetto, ho deciso di provare a spostarmi con i tempi e scrivere un'applicazione client-side.
Parte di questa applicazione comporta l'invio di e-mail di transazione agli utenti (ad esempio, convalida della registrazione, e-mail di reimpostazione della password, ecc.). Sto utilizzando un'API di terze parti per inviare le email.
Normalmente avrei la mia applicazione in esecuzione su un server. Chiamerei l'API di terze parti dal codice sul mio server.
L'esecuzione di un'applicazione sul lato client significa che ora deve avvenire sul browser di un utente. L'API di terze parti fornisce i file JavaScript necessari per raggiungere questo obiettivo.
Il primo problema lampante che riesco a vedere è che devo usare una chiave API. Questo normalmente verrebbe salvato in modo sicuro sul mio server, ma ora presumibilmente dovrò fornire questa chiave al browser client.
Supponendo di poter aggirare questo problema, il problema successivo è quello di impedire a un utente esperto di tecnologia di caricare lo strumento per sviluppatori JavaScript su un browser e utilizzare l'API di posta elettronica a loro piacimento, piuttosto che aderire a qualsiasi regola che ho impostato nell'applicazione.
Suppongo che la mia domanda generale sia: come possiamo impedire l'uso dannoso di un'applicazione client-side?