我有一个托管在 AWS s3 中并由 cloudfront 提供服务的 SPA 网站有多个 CNAMES 连接到该网站,例如 A.Mysite.com、B.Mysite.com 我有一个 API,静态网站只需要连接到该 API如果请求来自 A.Mysite.com,则为 A 提供内容,如果请求来自 B.Mysite.com,则为 B 提供内容
我应该在哪里存储 API 密钥?我猜在客户端公开 API 密钥是个坏主意,对吗?我已经查看了 OAuth、JWT 令牌等。似乎无论哪种方式,如果我没有服务器,我仍然必须向客户端发送访问密钥...
请帮助我理解这一点,因为我对如何在没有服务器的情况下实现静态站点和 API 之间的安全性感到非常困惑。