Tengo una página web que ejecuta una aplicación JavaScript y un servicio web contra el que la aplicación realiza solicitudes HTTP PUT. El servicio usa tokens de acceso para verificar la identidad del usuario, pero ahora estoy hablando mal de cómo evitar que los usuarios autorizados utilicen la API de manera inadecuada. Es decir. ¿Qué es detener a un usuario malintencionado de simplemente inspeccionar el tráfico saliente en su navegador, copiar la url del servicio y su token de acceso, y usarlo para llamadas de spam contra el servicio?
¿Existe una forma estándar de prevenir este tipo de uso indebido? Pensé que podría ocultar o cifrar los tokens del usuario para que no los vean, pero no parece que sea posible.
¡Salud!