我正在编写一个与Apple Music API接口的应用程序,到目前为止,我所有的API调用都是非个性化的,例如搜索目录歌曲或艺术家。典型的流程是客户端应用通过点击服务器的"搜索"终结点来搜索某些内容,然后我的服务器(存储开发人员令牌的位置(实际上会向 AM API 发出请求,然后将搜索结果传回客户端。
但是,我现在需要发出一些个性化的 API 请求,例如获取用户的播放列表。这要求将用户令牌与开发人员令牌一起包含在请求中。问题是,要请求用户令牌,似乎我需要使用 requestUserToken,这会在设备上拉出提示以使用 Apple Music 授权我的应用程序,并且需要开发人员令牌作为参数。
在客户端放置开发人员令牌似乎不安全,因为它们可用于直接发出任何请求,并且恶意客户端理论上可以使用它发送一堆请求并导致速率限制生效。
我是否误解了此协议中的某些内容,或者我只需要吞下风险并告诉我的服务器将开发人员令牌传递给客户端?
由于不知道要执行什么操作,则从服务器发送加密的开发令牌,并在客户端上解密。