如果您不想对您的用户进行身份验证（您不希望他们登录），您将无法知道谁在使用您的 API，或者哪些请求来自哪个用户。发出 API 请求所需的所有信息都已在 javascript 客户端中，任何人都可以创建另一个客户端，或向 API 发出有效请求，您甚至无法判断该请求是来自新客户端还是与以前的请求（想要下载您的数据库的人可以在许多客户端计算机上分发下载）。

Daniel 的回答可能是您通过这种方式最接近目标的答案。如果您发行代币，则至少可以撤销这些代币。但是，您仍然无法阻止攻击者请求新的攻击者。

阅读您的问题后，我的想法是 javascript Web 应用程序可能不是您想要的。您是说您的客户相对较少，而且您根本不想登录。是否可以选择为他们提供桌面/移动客户端之类的东西？它仍然可以是封装在某种容器中的 Javascript，但是对于每个客户端，您可以编译一个包含自己的密钥。一个明显的风险是他们仍然可以提取密钥，但这样一来，不是任何人都可以拥有拥有密钥的客户，事实上，泄漏的密钥将与其合法所有者相关联，并且您可以有合同条款来涵盖这种情况（禁止逆向工程等）。您还可以监视和控制数据库的大量下载并撤销违规密钥，

当然，这种风险在您的情况下可能会或可能不会被接受，只是一个想法。显然，从客户端获取密钥很容易，关键是不是每个人都有客户端可以从中获取有效密钥。更好的方法可能是将密钥作为客户端的许可证文件单独分发，它本质上是相同的，但没有“硬编码密钥”的概念（我认为在这种情况下它们不是真的）。这将使您的生活更轻松，因为您不需要在密钥被撤销的情况下分发完整的客户端，只需分发一个新的许可证文件。

这当然是身份验证，但在您的情况下可能对用户更友好，因为用户不需要做任何事情。

对于该数量的客户端的另一个想法是客户端证书。对于想要使用您的 API 的任何客户端，您将提供一个客户端证书。任何人都可以下载您的 Web 应用程序，但客户端证书可用于对 API 的调用者进行身份验证。它与上面的键相同，但处于不同的级别。撤销和发布一个新数据库更困难（并且可能更昂贵），您仍然无法阻止下载整个数据库，但同样，您将有证据证明是谁这样做的，并且可以撤销他们的密钥并将其包含在您的客户端中合同。

在所描述的场景中，混淆是您唯一的选择。您想让攻击者很难对您的 Web 客户端进行逆向工程。

如果客户端需要进行复杂的计算才能成功发出 API 请求，则攻击者必须对该计算进行逆向工程并将其复制到另一个应用程序中。

一些有帮助的事情：

• 缩小的 JavaScript
• 从服务器收到的令牌（例如 CSRF 令牌），然后您在 Web 客户端代码中以某种方式对其进行散列或转换
• 在计算中的某处包括当前日期

以上都不会阻止一个有足够动机的攻击者。

在我看来，最安全的解决方案是oauth2或者如果您想要更大的灵活性oauth。

它允许生成和终止访问令牌。您可以计算任何令牌获取了多少资源，并在有人试图下载您的所有数据时使其无效。

很棒的教程：

https://oauth2.thephpleague.com/