Der Schaden bestände dann ja höchstens aus einem geklautem APIKey, welchen man dann sperren kann, oder ging deine o. g. Aussage in eine andere Richtung?
Ich meinte:
Der Schaden den man mit einem geklauten
API-Key anstellen kann, ist genauso groß, wie der zum Key gehörige Nutzer auf dem Server Rechte dazu hat. Wenn nicht eh jeder Benutzer alles machen kann, sollte die Überprüfung, ob der Nutzer etwas darf, (auch) auf dem Server stattfinden.
Eigentlich ist es klar, aber im Eifer des Gefechts neigt man ja dazu, sowas zu vergessen
