Quindi ho intenzione di utilizzare le API per la mia app host. Ma le API sono costruite in modo tale da richiedere una sessionkey per ogni richiesta.
Quindi la mia domanda è: come potrei dogfood la mia API? Perché, a quanto pare, sto pensando di creare una chiave "speciale" per la mia app host (perché non ha senso richiedere una chiave per mio uso personale), ma chiunque ispeziona le intestazioni della richiesta potrebbe trovare questo chiave e letteralmente usarlo e bypassare la richiesta delle proprie chiavi.
Forse esiste una best practice per dogfooding della nostra API senza una chiave speciale o in qualche modo per differenziare se la richiesta proviene dall'app host o dal pubblico.
Non ho potuto usare l'IP per differenziare troppo, perché il pubblico poteva usare lo stesso server per chiamare le API. Questo è solo il modo in cui è, ed è uno dei limiti da tenere a mente.