Мы создаем мобильное приложение и хотим реализовать некоторую аутентификацию, чтобы убедиться, что API доступен только для нашего приложения. Пользователи приложения анонимны, без логинов, хотя я идентифицирую их через идентификатор устройства для поддержания настроек и т.д.
Самый простой подход - это создание ключа Guid/API, который я отправляю с каждым запросом через SSL.
Меня беспокоит возможность того, что злонамеренный человек с большим количеством свободного времени загрузит приложение, декомпилирует его, чтобы получить ключ API и запросы JSON, а затем удалит мою базу данных как можно лучше.
Достаточно ли SSL, Ключ API, Идентификатор устройства и API с достаточно ограниченными вызовами? Должен ли я придерживаться другого подхода? Являются ли мои опасения обоснованными или необоснованными?