In che modo proteggi un'API Web non pubblica da un'app dannosa in cui uno sviluppatore ha scoperto come eseguire alcune richieste?
Prendi l'app di Instagram come esempio: Instagram non ha una richiesta pubblica API per i media POST. La loro politica è stata quella di consentire solo agli utenti di pubblicare tramite l'app ufficiale di Instagram.
Tuttavia, ci sono servizi che consentono di essere in grado di inviare contenuti POST dall'esterno dell'app. Immagino che uno sviluppatore ambizioso sia riuscito a decompilare l'app per iOS o Android e scoprire le richieste che abilitano i media POST-ing. Pertanto, questo sviluppatore ha la possibilità di inviare spam a Instagram con post automatici.
Supporrei anche che Instagram avrebbe tentato in qualche modo di proteggere la propria API tramite una chiave API memorizzata nell'app o con altri mezzi.
La mia domanda è: come proteggi un'app contro questo tipo di attacco e se non puoi assolutamente proteggerti da ciò, quali sono le prossime opzioni migliori?