Ограничить запросы API только моим собственным мобильным приложением
Есть ли способ ограничить количество запросов к моему REST API только запросами, поступающими из моего двоичного файла моего мобильного приложения? Это приложение будет распространяться в Google Play и Apple App Store, поэтому следует иметь в виду, что кто-то получит доступ к его двоичному файлу и попытается восстановить его.
Я думал о подписи приложений, поскольку каждое опубликованное приложение должно быть как-то подписано, но я не могу понять, как сделать это безопасным способом. Может быть, сочетание получения подписи приложения, плюс основанные на времени хэши, плюс сгенерированные приложением пары ключей и старая, но безобидная безопасность?
Я ищу что-то как можно более надежное. Причина в том, что мне нужно доставлять данные в приложение на основе данных, собранных датчиками телефона, и если люди могут выдавать себя за мое собственное приложение и отправлять данные в мой API, которые не были обработаны моими собственными алгоритмами, это побеждает его цель.
Я открыт для любого эффективного решения, независимо от того, насколько сложно. Решения шляпы оловянной фольги очень ценятся.