如何在AJAX应用程序中保护私有REST API

API密钥是一个不错的解决方案，尤其是在您需要对API密钥的请求来源进行限制的情况下；请考虑，仅当原始Web请求来自授权来源（例如您的私有域）时，才应接受API密钥。如果Web请求来自未经授权的域，则可以简单地拒绝处理该请求。

您可以通过使用特殊的编码方案（例如，基于哈希的消息认证代码（HMAC））来提高此机制的安全性。以下资源清楚地说明了此机制：

http://cloud.dzone.com/news/using-api-keys-
有效