问如何在发送AJAX请求时隐藏API密钥？

EN

每个API请求都必须包含一个参数method_code，该参数以用户令牌、方法名称和秘密API密钥的散列形式计算。 我可以有一个服务器端脚本为我生成method_code，但是否有可能只让我的web应用程序请求访问它呢？

是的，如果您不想在客户端代码或请求数据中公开秘密API密钥，那么服务器端脚本就是最好的选择。

用户令牌可以(大概)来自用户的会话cookie值吗？因此，只需有一个服务器端方法，该方法接受method name，然后返回根据secret API key (仅保留服务器端)和user token计算的method_code。

同一原产地政策将阻止另一个域向API发出请求并撤回method_code。我还假设API和前端代码在这里运行在同一个域上，但是如果不是这样的话，您可以使用CORS来允许前端代码通过API读取和撤回数据客户端。

您可以尝试根据安全因素生成令牌，并对其进行加密，并在请求中使用它来标识客户端和有效请求。