Egy natív mobilos appot csinálok ami egy saját rest api-val fog kommunikálni. Az applikációban be tudnak regisztrálni és be tudnak lépni a felhasználók. Belépés után a felhasználó paramétereivel elérek pár endpointot az api-ban. Hogyan tudom azt limitálni, hogy csak belépés után, a mobil alkalmazásból érkező api hívásokra válaszoljon a rendszer?
Első ötletem az volt, hogy "Beleégetek" az applikációban egy API kulcsot amit ellenőrzök a szerveren és mivel https-en kommunikálok, ez nem fog látszódni. Ez iOS-en még jó is lenne, de egy APK simán visszafejthető és megvan az API kulcs.
Más ötlet esetleg, hogy biztonságosabb legyen? Ráadásként a későbbiekben egy-egy felhasználónak szeretnék jogot adni arra, hogy a saját rendszerében is felhasználhassa az API-t, tehát valami ilyen megoldást keresek, ami részben kinyitható a külvölág felé is.