Sto provando a progettare un servizio Android Analytic in cui ogni applicazione dell'utente che si registra in questo servizio deve scaricare il nostro SDK. Lo stesso SDK deve comunicare con il nostro server API. Il punto in cui mi sono imbattuto nel problema è che non so come implementare un modo corretto di autenticazione per ogni applicazione per poter comunicare con il nostro server API.
Ho già generato una chiave API univoca per ogni applicazione dell'utente, ma non so come gestire il processo di autenticazione, poiché se assumiamo che la chiave API sia l'unico fattore di autenticazione può essere facilmente rubata dall'hacker .
D'altra parte, ho letto che JWT sarebbe il caso migliore, ma che differenza c'è inviando le API-Keys e ottenendo il token di accesso dove ancora una volta entrambe possono essere facilmente rubate? ora dovrei usare OAuth 2.0 o qualcos'altro?
Qualsiasi idea sarebbe apprezzata ...