Come posso proteggere la mia api per evitare di copiare?

La prima cosa che dovresti fare è assicurarti che tutte le comunicazioni tra la tua app e il server utilizzino HTTPS anziché HTTP. Questo dovrebbe proteggerti dall'ispezione casuale dei pacchetti. Per rendere questa installazione più sicura, puoi anche considerare l'utilizzo di blocco dei certificati per prevenire attacchi man-in-the-middle coinvolgendo un certificato falsificato per il tuo sito.

Se si utilizza SSL, il contenuto della richiesta GET sarà crittografato (sebbene il fatto che si stia effettuando una connessione al server sarà evidente). Il tuo vero problema è che se si distribuisce l'app al pubblico, è può essere decodificato e si può estrarre qualsiasi chiave API che si utilizza. Puoi offuscare il file binario, ma questo non può eliminare completamente la possibilità di reverse engineering.

A seconda della tua app e della natura dei tuoi dati, dovresti preoccuparti di più sull'autenticazione degli utenti della tua app, piuttosto che sull'applicazione stessa.

La chiave della sicurezza è la comprensione dei vettori di attacco. Chi sta tentando di accedere ai tuoi dati?

È un teorema fondamentale che non puoi non dare informazioni. Se un client ha ricevuto dati dal tuo server, questo non può essere annullato. La crittografia si limita ad assicurare che il client giusto riceva informazioni.

In particolare, "l'app stessa" non è qualcosa che controlli completamente. Il client è un computer da qualche parte su Internet. L'applicazione in esecuzione su quel computer può essere studiata dal proprietario del computer. I dati inviati all'app si trovano in memoria e possono essere studiati dopo la decrittazione. La crittografia protegge i dati solo da intercettatori / uomini nel mezzo.