第三方javascript api的访问令牌_Javascript_Cross Domain_Api Security

第三方javascript api的访问令牌

javascript

第三方javascript api的访问令牌,javascript,cross-domain,api-security,Javascript,Cross Domain,Api Security,我在域名example.com中开发了一个JavaScript代码。该代码可以集成在任何其他域中，就像任何以域身份验证标识符作为url参数的js代码一样 <script src="https://example.com/js.php?auth=xxxxxxxxxxxxxxxx"></script> 加载代码时，它将请求一个由我的服务器加密的访问令牌，用于我的服务器和调用脚本的客户机服务器之间的所有cors ajax调用。当然，访问令牌不能被黑客攻

我在域名example.com中开发了一个JavaScript代码。该代码可以集成在任何其他域中，就像任何以域身份验证标识符作为url参数的js代码一样

<script src="https://example.com/js.php?auth=xxxxxxxxxxxxxxxx"></script>

加载代码时，它将请求一个由我的服务器加密的访问令牌，用于我的服务器和调用脚本的客户机服务器之间的所有cors ajax调用。当然，访问令牌不能被黑客攻击，因为只有我的服务器才能生成它

问题是用于获取访问令牌的第一个ajax调用

我不能在js代码中输入客户机密码，因为任何黑客都可以获取密码并使用它获取访问令牌

我可以在js代码中放入一个时间戳令牌，以获取一段时间后过期的嵌入访问令牌。这安全吗