我正在开发一个以API为中心的Web应用程序,其中包含一个自定义授权方法,该方法包括根据请求方法构建字符串,URL,参数,公共API密钥以及由私有API密钥编码.这在服务器端工作正常,但在客户端,私有API密钥(和授权方法)将是易受攻击的.我花了最后一小时左右的时间来寻找保护这个API密钥的好方法,我能找到的最佳方法是通过我的服务器进行代理,但我仍然不确定100％.

首先,我应该担心吗？我想在我的Web应用程序中将安全性作为优先级,但是任何处理修改用户帐户的事务都需要一个临时的加密令牌来授权请求​​(除了HMAC哈希).

我对代理的理解是你会向你的服务器发出请求,然后用私钥加密并返回信息.但是服务器如何验证请求来自具有有效API密钥的源？

谁能提供任何关于我应该做什么的见解？我觉得这可能是任何客户端代码的漏洞,包括JavaScript,iOS和Android.