>>374
今はAPIキーは使われてないけど仮定の話ね
>セッション作成はIPでレートリミット掛けるしかない
ってのはMonaKeyシステムが動いてた時にやってたやつだと思うけど
健全な100人が100個のIPアドレスからSID発行を求めてるのか
荒らしの1人が100個のIPアドレスからSID発行を求めてるのかを区別するのは不可能だから
SIDで管理するってのは結局秘匿されたAPIキーとセットじゃないと成り立たんわけですよ

Webブラウザの動画再生DRMみたいにどうしてもアプリ側に鍵を委ねなきゃいけない用途はあって
例えばGoogleのWideVineがそうだがこれは
・プラットフォーム・ブラウザ毎にキーを埋め込んだバイナリモジュールを提供する
・モジュールはアンチデバッグな実装になっている
・モジュールはアプリとは独立して更新できる
・定期的に(あるいは漏出が確認された場合は即座に)モジュールの更新を行い古い鍵を使ったアクセスを無効化する
のような運用を行うことでキーの漏出対策を行っている