我有一个 Web API,我想允许任何域向其提交数据。但是,为了阻止虚假垃圾邮件,我想找到某种方法来确保声明它来自某个域的请求实际上来自该域,并且不会有人试图通过代表另一个域发布来欺骗我。
例如,如果http://example.com提交了一些数据 - 这很好。如果脚本 Kiddie #237 提交的数据声称是 example.com - 那很糟糕。
起初,我打算使用密钥系统对每个请求进行 HMAC 签名 - 但此 API 的注册将是开放、免费和自动化的。我不确定如何判断 PersonA 或 PersonB 是否真的拥有http://example.com并且应该获得 API 密钥。