Làm cách nào để đảm bảo API REST của tôi chỉ đáp ứng các yêu cầu được tạo bởi các khách hàng đáng tin cậy, trong trường hợp ứng dụng di động của riêng tôi? Tôi muốn ngăn chặn các yêu cầu không mong muốn đến từ các nguồn khác. Tôi không muốn người dùng điền vào một khóa nối tiếp hoặc bất cứ điều gì, nó sẽ xảy ra đằng sau hậu trường, khi cài đặt và không có bất kỳ tương tác người dùng nào cần thiết.
Theo như tôi biết, HTTPS chỉ để xác thực máy chủ mà bạn đang liên lạc là người mà nó nói. Tôi sẽ sử dụng HTTPS để mã hóa dữ liệu.
Có cách nào để hoàn thành việc này?
Cập nhật: Người dùng có thể thực hiện các hành động chỉ đọc, không yêu cầu người dùng đăng nhập, nhưng họ cũng có thể thực hiện các hành động ghi, yêu cầu người dùng phải đăng nhập (Xác thực bằng mã thông báo truy cập). Trong cả hai trường hợp, tôi muốn API đáp ứng các yêu cầu chỉ đến từ các ứng dụng di động đáng tin cậy.
API cũng sẽ được sử dụng để đăng ký tài khoản mới thông qua ứng dụng di động.
Cập nhật 2: Có vẻ như có nhiều câu trả lời cho điều này, nhưng thực lòng tôi không biết câu nào sẽ đánh dấu câu trả lời. Một số người nói nó có thể được thực hiện, một số người nói nó không thể.