Мы хотим внедрить сервис в стиле ajax на ряд наших сайтов, каждый из которых имеет уникальный ключ API. Проблема, которую я вижу, состоит в том, что, поскольку ключ api хранится в файле javascript, пользователь может потенциально взять ключ, подделать ссылку HTTP и сделать миллионы запросов к API под этим ключом API.

Поэтому мне интересно, как Google предотвращает подмену Google Analytics? Как это использует почти ту же идею.

Я также открыт для других идей, по сути, это процесс.

SiteA -> Пользователь <-> Ajax <-> SiteB

РЕДАКТИРОВАТЬ - есть ли способ защитить API от злоупотребления при вызове через ajax?