我是一个由AWS s3托管并由cloudfront服务的SPA网站有多个CNAME连接到该网站,例如A.Mysite.com,B.Mysite.com我有一个静态网站连接到的API,仅当请求来自A.Mysite.com时才为A提供内容,如果请求来自B.Mysite.com则为B提供内容]
我应该在哪里存储API密钥?我猜想在客户端公开API密钥不是一个好主意吗?我已经浏览了OAuth,JWT令牌等。似乎无论如何,如果我没有服务器,我仍然必须向客户端发送访问密钥...
[请帮助我理解这一点,因为我非常困惑在没有服务器的情况下如何实现静态站点和API之间的安全性。