Gibt es eine Möglichkeit, Post-Anfragen auf meine REST-API nur auf Anfragen zu beschränken, die von meiner eigenen mobilen App-Binärdatei stammen? Diese App wird auf Google Play und im Apple App Store vertrieben, sodass impliziert werden sollte, dass jemand Zugriff auf die Binärdatei hat und versucht, sie zurückzuentwickeln.

Ich habe mir etwas mit den App-Signaturen überlegt, da jede veröffentlichte App irgendwie signiert sein muss, aber ich kann nicht herausfinden, wie ich es auf sichere Weise machen soll. Vielleicht eine Kombination aus der App-Signatur, zeitbasierten Hashes, von der App generierten Schlüsselpaaren und der guten alten Sicherheit, wenn auch obskur?

Ich bin auf der Suche nach etwas möglichst ausfallsicherem. Der Grund dafür ist, dass ich Daten basierend auf den von den Telefonsensoren erfassten Daten an die App senden muss. Wenn Benutzer sich als eigene App ausgeben und Daten an meine API senden können, die nicht von meinen eigenen Algorithmen verarbeitet wurden, ist dies nicht mehr der Fall Zweck.

Ich bin offen für jede effektive Lösung, egal wie kompliziert. Zinnfolienhutlösungen werden sehr geschätzt.