只让受信任的 Web 客户端注册新用户：如何在 Web 前端发送 HMAC 机密

我有一个带有端点 /register 的后端 REST API，用户可以在其中注册新帐户（电子邮件 + 密码）。

然而，最近，我的后端越来越多地成为脚本攻击的受害者，这些攻击注册了大量用户，然后在我的应用程序中运行一些垃圾邮件攻击。

我想通过只让“受信任的客户端”（例如我的官方 Web 应用程序前端）通过 /register 端点注册用户来防止这种情况发生。

为此，我正在考虑向 /register 添加 HMAC 检查，但我不确定如何在我的前端客户端 (react) 中传送用于为 {{1} 签名/计算 HMAC 的密钥}} 请求。

有没有办法在我的 React 前端以某种方式传送秘密，而不会让黑客只需阅读浏览器中的 javascript 源代码即可获得秘密？