如何保护渐进Web应用程序中的API密钥

我有两个Spring Boot Web应用程序。两个应用程序都有不同的数据库和不同的用户集。此外，两个应用程序都使用Spring Security进行身份验证和授权，这可以正常工作。 在任何给定点上，我都将运行第一个应用程序的一个实例和第二个web应用程序的多个实例。 我想公开来自第一个Web应用程序（一个实例运行）的REST API，并能够使用来自第二个Web应用程序（多个实例运行）的REST

如果在类路径上添加了Spring Boot Security依赖项，则Spring Boot应用程序会自动要求对所有HTTP端点进行基本身份验证。 端点“/”和“/ home”不需要任何身份验证。 所有其他端点都需要身份验证。 要将Spring Boot Security添加到Spring Boot应用程序，我们需要在构建配置文件中添加Spring Boot Starter Security依赖项

我目前正在开发几个应用程序，主要托管在Azure上：一个调用托管在Azure上的API的Excel加载项（Office应用程序），一个托管在Azure上的web应用程序，以及以后可能的其他应用程序。 为了对用户进行身份验证，我使用Azure Active Directory（Azure AD），基于Web API的令牌身份验证和Web应用程序的OpenID。因此，对API或Web应用程序的每次调用

问题内容： 我知道有很多类似的问题，但是没有一个是用户可以访问代码的HTML / javascript应用程序。 我有一个用nodejs编写的私有REST API。它是私有的，因为它的唯一目的是为我的HTML5客户端应用程序（Chrome应用程序和Adobe Air应用程序）提供服务器。因此，API密钥不是一个好的解决方案，因为任何用户都可以看到javascript代码。 我想避免机器人在服务器上

我试图保护Spring BootAPIendpoint。我希望只传递api密钥和秘密作为头的一部分来调用api。我尝试了这个链接中发布的代码。但是在头中使用授权调用api时拒绝访问。使用API key和secret保护Spring Boot API我想知道我应该作为头部的一部分传递什么，这样我就可以从API获得成功的响应。我做了以下步骤：我在application.properties中添加了以下