У меня есть относительно простое веб приложение у которого есть backend, на нем есть очень полезный апи который могут захотеть использовать другие люди, мне его нужно как то защитить что бы им могли пользоваться только те, кто зашёл через мой сайт. Короче, сделать так что бы апи мог использоваться только с сайта, авторизации у меня нету, есть ли какие-то решения?
Ответ был относительно простым, добавляем проверку на бота через cloudflare turnstile, у них она безлимитная. Как работает:
Интегрируете код с примера cloudflare в веб, тебе возвращается разовый токен если проверка успешна.
Ты отсылешь этот токен на сервер и он проверяет его валидность (защита от подделки) а потом отправляем JWT токен клиенту который действителен какое то время (например час).
При следующих запросах апи просто вставляем этот токен в head и на сервере (если spring boot как у меня) настраиваем правила безопасности на существование и валидность JWT токена.
Если в какой то момент запрос по апи возвращает 403 или 401, повторяем проверку на бота.
Спасибо за внимание!