.. pero me refiero a que cuando javascript realiza una peticion ajax, la traza es visible en el debugger del navegador.
Creo que por mas sea visible, el servidor reconoce esa peticion y descarta las demas como cuando sucede un ataque csrf, en el se usa un token.
Ahora mismo este proyecto lo estoy manejando por sesiones, pero el objetivo es usar acces tokens, y este seria visible al igual que la propia sesion si no me equivoco.
Podrias buscar otros servicios RESTful que trabajen con js para ver como lo realizan.
Dado que la información de cada web se recogeria por ajax, cualquier persona que la visitara podria tener a mano la información y utilizarla en su beneficio, pudiendo hacer las peticiones desde otro sitio ¿no es asi? El token dejaria de ser algo "oculto"
Es como te decia, contra ataques csrf el framework en el que estes trabajando en tu backend deberia de proveerte de un token.
No entiendo del todo del proyecto como es usado, ni tampoco hice antes una api restful, asi que prodria estar equibocandome.
off: Sos el creador de gamers.ly? Y yo que queria hacerte la competencia
, que le paso al sitio?