Например, ознакомьтесь с этим плагином Facebook.
На стороне клиента хорошо видна клавиша API. Что мешает другому пользователю получить этот ключ и использовать эту функцию на другом сайте?
Я решил, что очень наивная реализация будет проверять домен, из которого поступает запрос, но такие вещи легко подделать.
Если бы я должен был создать что-то подобное, как бы я мог обеспечить процесс аутентификации?
Я хочу, чтобы большая часть этой работы была на стороне клиента, хотя определенная форма аутентификации сервера потребуется обязательно? Любые ссылки или советы будут очень признательны.
Обновление
Аналогичные question ключи API, которые я нашел полезными.