Ho creato un'applicazione esposta tramite un servizio web e un client Android che comunica con quel servizio web. C'è un modo per far autenticare il client con il servizio web in modo che il servizio Web sappia che sta comunicando con l'app per Android che ho scritto e non con un'applicazione che si maschera come app per Android?
Non puoi impedire efficacemente a qualcuno di imitare l'app. Anche se si stabilisce una sorta di "token dell'app segreto" che solo l'app utilizza e crittografa comunicazione, sarà ancora possibile decodificare queste misure con uno sforzo gestibile e finto il comportamento dell'app.
È possibile aggiungere un certificato lato client alla comunicazione TLS (https). Al primo utilizzo la tua app recupera un certificato dal server. Per le richieste successive l'app deve presentare il proprio certificato nell'handshake TLS.
È necessario accertarsi che solo gli utenti validi ottengano un certificato client (ad esempio una sola volta tramite SMS / testo). E hai bisogno di conservare il certificato in modo sicuro.
Leggi altre domande sui tag api authentication oauth