Ich schreibe ein JavaScript-Plugin, das von Bloggern / Website-Eigentümern installiert wird. Es wird mit meiner Remote-API kommunizieren.

Ich frage mich, wie die API gesichert werden kann, um sicherzustellen, dass nur Domänen, deren Eigentümer Benutzer sind, die ein Konto beim Dienst registriert haben, auf Ressourcen über die API zugreifen können. Ich habe OAuth2 gelesen und die Grundlagen verstanden, aber da das Plugin im Browser und nicht von Server zu Server ausgeführt wird, bin ich mir nicht sicher, wie sicher dies sein kann.

Unzählige Dienste wie Mixpanel, Google Analytics und Olark verwenden dasselbe Konzept (d. H. Der Website-Eigentümer installiert eine JS-Zeile auf seiner Website), sodass es sich um ein gelöstes Problem handeln muss.