Если на сервере есть проверка на HTTP referer, то будет ли это дополнительной (или основной) мерой для раздачи доступа к API?
Я хочу раздавать некоторые данные со своего сервера, поэтому я хочу создать API, но Token заменить на проверку с какого ресурса обратился "клиент" - HTTP Referer. Можно ли это все подделать - в смысле запрос с сервера, который не имеет права брать данные? Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab, в первом придется писать token в репозиторий (про второй не знаю) и, получается, рисковать тем, что им воспользуются злоумышленники.