La mia Rest API
è protetta usando Oauth2
. Il mio client
principale è un native app
.
funziona bene ma ci sono alcune chiamate all'API che voglio assicurarmi che vengano eseguite dal mio client
- il che significa che se l'utente ha ottenuto access token
- non sarà in grado di utilizzare curl
per chiamare il mio Rest api
.
Ad esempio, se ho un Rest api per Achievement unlocking , come posso assicurarmi che un utente autenticato non sia in grado di chiamare questa API di riposo per sbloccare l'achivment?
Soluzioni a cui ho pensato:
- Firma la richiesta con un'intestazione speciale - Ma penso che sia fragile