мы читали довольно много вопросов здесь о безопасности веб-API 'с использованием ключей API, токенов, HMAC и т. д.Я не нашел ответ, который ищу.

я работаю над проектом веб-приложения MVC4 с сайтами в Интернете и интрасети, веб-API и приложениями для Android / iOS.

Веб-API должен использоваться моими приложениями, и никто другой, какэто будет доступ к конфиденциальным данным.

Как лучше всего защитить этот API, чтобы его могли использовать только мои приложения? Кое-что, что кажется таким простым запросом, чрезвычайно трудно начать.

Мы смотрели на пост здесь о SO с использованием HMAC и нескольких других, но ни один из них не звучал так, как будто они здесь подходят, скорее всего, я просто что-то упустил.

Является ли HMAC подходящим вариантом или клиентские сертификаты будут более подходящими для этой ситуации?

Должен ли я использовать SSL и какой-то ключ API?

Я знаю, что вопрос немного расплывчатый, яя больше часа смотрел на него, пытаясь понять, как выразить то, о чем я думаю, поэтому решил, что просто опубликую и обновлю при необходимости ... :(

Я был бы более чем рад предоставить более подробную информацию по запросу.