Тематика ресурса тостер ру?

DevMan, а ты только этим и занимаешься: пишешь/удаляешь и не только свои!

Что такое "Плавающий бит" при защите информации от копирования?

CityCat4, что такое дискета - я знаю. А вот какими программными методами считывать дробные намагничивания с битового сектора - нет!
Есть инфа по этому вопросу?

Как лучше реализовать переключение вкладок в Electron-приложении?

Антон Шаманов,

Моя задумка - чтобы страницы перекрывали друг друга через изменение z-index.

тут сложно сказать однозначно.

Что такое "Плавающий бит" при защите информации от копирования?

longclaps, да не.. всё ок! про доли - я понимаю.
А про то - как считывать эти доли программно? Не совсем! )

Как ограничить доступ к api сайта?

Кирилл Горелов, да это просто метод, а не идея)

Мне нужно сделать на сайте возможность, начертить планировку комнаты?

Antonio Solo, я про мутацию фриланса в тостер...

Как защитить свою программу от копирования?

DevMan, ну что ты опять-то привязываешься не по делу - люди попросили помощи, а ты....
....... ......... ......... ......... ;)
В общем, как и всегда...

Мне нужно сделать на сайте возможность, начертить планировку комнаты?

Хороший пример незатратного создания бизнес-сервисов на сегодня. ;)

Как ограничить доступ к api сайта?

Кирилл Горелов, заплатка то заплаткой... НО! ;)
Решение можно юзать на сайтах без возможности использования бэка (например, как бесплатный хостинг сайтов пользователей гитхабе - только фронт/контент: html,css,js,шрифты и медиа-файлы): без возможности запуска всяких PHP и прочих скриптов на бэке!

Самое главное - это будет работать, если домены и/или их владельцы - разные.
Т.е., стороннее виджет-приложение на JS - вставить с другого сайта (после оплаты или бесплатно) - вообще никаких проблем: взяли JS-код приложения, ПОМЕНЯЛИ КАК УГОДНО! и заюзали внешний API-обработчик. Или полностью написали свой JS-код для стороннего API-обработчика.

А поставщик API (в свою очередь), может легко контролировать по домену И исключительно для использования на front-end: кто оплатил - разрешить, кто нет - запретить.

Как ограничить доступ к api сайта?

muhasa, мысль пришла: а нельзя ли (в логике вашего решения) засунуть фронт-"петлю" запросов к API: API (api.*)->FRONT-END(браузер) в back-end фронта (на сервер домена front.*) API(api.*)->BACK-END(front.*)->FRONT-END(браузер)

Тогда браузер будет обращаться только к front.*, а рендер (запрос-ответ к api.*) - сделать на стороне бэкенда фронта (front.*).
Все AJAX-запросы с фронта - убрать полностью и получать уже готовую страницу с бэкенд-сервера (домена front.*) без выноса интерфейса API (api.*) во-вне.

Если такое возможно (возможность чуть поменять архитектуру вашего решения), то лучше всего сделать так.

Как защитить сайт от ботов и автоматов?

SEOD, для начала - нужно, чтобы боты заметили сайт с формой ;)
А вот как заметят, там уже совсем другая история....

Заполнили поля формы быстрее 5 секунд (после запроса к генерации через AJAX) - получите каптчу сообщение "Что-то пошло не так!" с занесением IP-шника (или даже подсети класса C) в BLOCK-лист на час. (это самое простое правило поведенческого фильтра)

Как ограничить доступ к api сайта?

Alex Wells, ты глупый или прикидываешься?

и логика приложения не позволяет вводить авторизацию.

Не откроет JS за 5 секунд вручную, а уж тем более, динамически сгенерированный и с уникальной логикой и "телом", да ещё и с обфускацией.
Код приложения клиента (на фронте) - мы не обфусцируем! Обфусцируем только JS-задачу, срок актуальности которой 3-5 секунд (здесь нечего поддерживать, после того, как всё начнёт работать).

Как ограничить доступ к api сайта?

Кирилл Горелов, Лично я - считаю свой метод каким-то корявым)))
Наверное есть что-то более рациональное... (просто думать надо дольше))))

Как ограничить доступ к api сайта?

Кирилл Горелов,

Но очень интересная задача.

Я вот только двойной запрос с JS-таском и промежуточным 3-5сек. токеном придумал. Может это и не совсем красиво... Но, должно работать исправно, чтобы не давать доступ из нативных приложений.
От headless - тоже можно защититься, найдя любую разницу в работе функций HTML5 (она всегда есть).

Как ограничить доступ к api сайта?

Кирилл Горелов, ща вот даже с jwt - таже история: 3-х сторонний обмен с одним общим публичным ключом (или с авторизацией) - тоже можно сделать где угодно (любой нативный самописный клиент).

Как ограничить доступ к api сайта?

Кирилл Горелов, принадлежат - они одному, а выполнить запрос с помощью этого ключа (он же на фронте должен быть) может выполнить кто угодно просто используя этот ключ в нативном приложении, например. (или я не прав?...)

Как ограничить доступ к api сайта?

Кирилл Горелов, речь про то, что заполнить поля, создать подпись и вернуть подпись с ключом - может любой клиент. А автору вопроса требуется разрешить это делать только с определённого домена И на стороне клиента.

Как ограничить доступ к api сайта?

Проблема: что jwt можно сделать не в браузере, а в своём приложении-микросервисе и спокойно юзать API у себя на бэкенде. Т.к. там только обмен данными, а проверки, что это используется внутри браузера или нет - никакой нет.

Как ограничить доступ к api сайта?

Кирилл Горелов, тогда это не решение вопроса топикстартера, т.к. он указал, что

а сам фронт отдаётся в браузере,

и сразу смутило...

В: А зачем вообще передавать эти данные через форму тогда, если пользователь не может их изменить?

О: Мы говорим о наборе полей, а не самих данных. В форме есть набор полей — зачем пользователю менять сам набор, если он должен заполнить только значения?

Т.е., задача - ограничить доступ к API с фронта, а не с бэка. (я так понял...)

Как ограничить доступ к api сайта?

Кирилл Горелов, на мой простой вопрос можете дать конкретный ответ?

т.е. сайты обмениваются друг с другом по бэку и без фронта (браузера).
Верно я понял?