Как защитить публичные маршруты бэкенда?

Question

[Артем]

Всем привет.

Есть легкое недопонимание вот такого вопроса. Существуют отдельные фронтенд- и бэкенд-приложения. Общение между ними построено на токенах. Но токены используются только для защиты приватных маршрутов. Пользователь вводит логин/пароль и отправляет на бэкенд, бэкенд их проверяет, если все ок, то выдает access и refresh-токены. Тут все понятно.

А как защищают публичные маршруты бэкенда? Или их не защищают? Ну то есть, например, у меня есть публичный маршрут /api/items по которому фронтенд получает список чего-то. И я хочу, чтобы только определенный фронтенд получал доступ к нему, а не любой другой, чтобы не спарсил весь список моих items, cURL, например.

Стоит тут заморачиваться или это паранойя?

Answer 1

[Айнур Валиев]

например PEK public api не требует никаких ключей. А вот Delline требует api ключ.
По мне лучше без ключей.